Kubernetes 安全防护最佳实践

想要运用 Kubernetes 安全防护最佳实践，需要在构建阶段修复已知的安全漏洞，在构建/部署阶段重新调整错误配置，在运行时响应威胁，并且保护整个 Kubernetes 基础架构的安全。

这些要点与 Kubernetes 安全状况最新报告中收集的热点安全问题相关回复相对应，该报告发现，由于 Kubernete 的高度可定制性和容器安全防护的复杂性，超过 50% 的受访者对配置错误和漏洞表示担忧。为了克服安全挑战并避免应用部署速度减缓，企业/机构必须在整个开发生命周期中将保护 Kubernetes 视为优先要务。

容器无处不在

Kubernetes 是一款开源容器编排平台，用于管理批量保存在 Kubernetes 集群中的数百个（有时候数千个）Linux® 容器。它非常依赖连接容器化微服务的应用程序编程接口（API）。这种分布式特性让我们很难检测哪些容器可能存在漏洞、可能存在错误配置，或者会给您的组织带来很大风险。

驾驭之道是全面掌握容器部署的情况，及时捕捉每个容器中的系统级关键事件。

容器镜像和镜像仓库可能被滥用

容器镜像（也称为基础镜像）是用于创建新容器的不可变模板。新复制的容器镜像则可以进行修改，以满足不同的目的。

驾驭之道是设置策略，确定如何构建镜像，以及如何在镜像仓库中存储它们。需要定期对基础镜像进行测试、批准和扫描。只能使用经允许的镜像仓库中的镜像在 Kubernetes 环境中启动容器。

不受约束的容器通信

容器和容器集需要在部署中相互通信，也需要与其他内部和外部端点通信，来确保正常工作。如果一个容器遭到攻击，该容器与其他容器和容器集通信的范围，直接决定了黑客在环境中的活动范围。在疯狂蔓延的容器环境中，手动配置此类策略会变得十分复杂，因此实现网络分段可能会异常困难。

驾驭之道是跟踪命名空间、部署和容器集之间传输的流量；并确定其中实际允许的流量。

进一步了解红帽如何为容器安全通信保驾护航

默认的容器网络策略

默认情况下，Kubernetes 部署不会对容器集（Kubernetes 应用的最小单位）应用网络策略。这些网络策略就像是防火墙规则。它们控制着容器集如何通信。在不使用网络策略的情况下，容器集之间可以自由通信。 

驾驭之道是定义网络策略，限定容器集只能与定义的资产通信，且只在容器中的只读卷上挂载密钥，而不是作为环境变量来传输这些敏感数据。

容器和 Kubernetes 合规性

Kubernetes 支持的云原生环境应像所有其他 IT 环境一样，符合安全最佳实践、行业标准、基准和内部组织策略的要求，并证明其合规性。有时，这需要您调整合规性策略，使 Kubernetes 环境满足最初为传统应用基础架构所编写的控制要求。

驾驭之道是监测其合规遵从情况，并自动执行审查。

运行时

Kubernetes 是一种不可变的基础架构。在容器运行时期间无法安装补丁，因为这样必须要销毁正在运行的容器，然后重新创建。被攻击的容器可以用来运行恶意进程，例如加密挖矿和端口扫描。

驾驭之道是销毁被攻击或正在运行的容器，重建未被攻破的容器镜像，然后重新启动它。

通过创建坚固的基础镜像并采用漏洞扫描流程，可以从构建阶段就开始确保 Kubernetes 安全。

• 使用最小的基础镜像。避免使用带操作系统（OS）软件包管理器或 shell（可能包含未知漏洞）的镜像，如果一定要使用这类镜像，可以在之后移除软件包管理器。
• 使用可信的来源。 只选择来自可信来源并托管于信誉良好的镜像仓库中的基础镜像。
• 不要添加不必要的组件。 一般来说，常用工具包含在镜像中时，会成为安全隐患。
• 仅使用最新的镜像。 更新组件版本。
• 使用镜像扫描程序。 识别镜像中的漏洞，逐层击破。
• 将安全防护集成到 CI/CD 管道中。对安全防护中会导致持续集成构建中断的可重复工作实施自动化，并针对严重的可修复漏洞生成警报。
• 标记永久漏洞。 将无法修复、不太关键或无需立即修复的已知漏洞添加到允许列表中。 
• 采用深度防御。 标准化策略检查和补救工作流程，以检测和更新易受攻击的镜像。

在部署工作负载之前配置好 Kubernetes 基础架构的安全防护。首先要尽可能多地了解部署过程，比如部署内容（镜像、组件、容器集）、部署位置（集群、命名空间和节点）、部署方式（特权、通信策略、应用的安全防护）、可以访问的对象（密钥、卷）和合规性标准。

• 使用命名空间。 将工作负载划分到命名空间，可以帮助遏制攻击，并限制授权用户所犯的错误或做出的破坏性操作带来的影响。
• 使用网络策略。 Kubernetes 默认允许每个容器集与其他容器集通信，但是能够控制进出应用的流量的网络分段策略和插件可以覆盖这项默认设置。
• 限制密钥的访问权限。 仅挂载部署所需的密钥。
• 评估容器特权。 仅提供容器发挥其功用所需的功能、角色和特权。 
• 评估镜像出处。 使用来自已知镜像仓库的镜像。
• 扫描部署。 根据扫描结果实施策略。 
• 使用标签和注释。 在部署中标记或注释负责容器化应用的团队的联系信息，以简化分类。
• 启用基于角色的访问权限控制（RBAC）。RBAC 控制用户和服务帐户访问集群 Kubernetes API 服务器的授权。

在构建和部署阶段运用 Kubernetes 安全防护最佳实践可以降低发生安全事件的几率，但要识别和响应运行时威胁，需要持续监控流程活动和网络通信。

• 使用上下文信息。使用 Kubernetes 中的构建和部署时间信息来评估运行时中观察到的和预期的活动，以检测可疑活动。
• 扫描正在运行的部署。监控正在运行的部署，确认是否存在最近在容器镜像中发现的相同漏洞。
• 使用内置控制。 配置容器集的安全上下文，以限制它们的功能。
• 监控网络流量。 观察并比较实时网络流量和 Kubernetes 网络策略允许的流量，以识别预期外的通信。
• 使用允许列表。 识别在正常的应用运行过程中执行的进程，以创建一个允许列表。
• 比较相似部署的容器集中的运行时活动。 需要对具有明显差异的重复项执行调查。
• 将可疑的容器集缩容到零。 使用 Kubernetes 原生控制，通过自动指示 Kubernetes 将可疑容器集缩容为零，或销毁并重建实例来控制漏洞。

Kubernetes 安全防护不仅限于镜像和工作负载。安全防护涉及整个 Kubernetes 基础架构：集群、容器引擎，甚至是云。

• 应用 Kubernetes 更新。 更新您的 Kubernetes 发行版将会应用安全补丁并安装新安全工具。
• 保护 Kubernetes API 服务器。Kubernetes API 服务器是通往 Kubernetes 控制平面的一道关卡。禁用未验证身份/匿名的访问，并对 kubelet 和 API 服务器之间的连接使用 TLS 加密。还应启用审核日志记录，以便查看非典型的 API 调用。
• 保护 etcd。etcd 是 Kubernetes 用于数据访问的一个键值存储。保护 kubelet，以缩小受攻击面。使用 --anonymous-auth=false 标志启动 kubelet 以禁用对 kubelet 的匿名访问，并使用 NodeRestriction 许可控制器来限制 kubelet 的访问权限。

云安全防护

无论是用哪种类型的云（公共云、私有云、混合云或多云）托管容器或运行 Kubernetes，云用户（非云提供商）应始终负责保护 Kubernetes 工作负载的安全，包括：

• 容器镜像：源、内容和漏洞
• 部署：网络服务、存储和特权
• 配置管理：角色、组、角色绑定、服务帐户
• 应用：Kubernetes 机密管理、标签、注释
• 网络分段：Kubernetes 集群中的网络策略
• 运行时：威胁检测和事件响应

使用容器和 Kubernetes 不会改变您的安全防护目标，即减少漏洞和安全风险。

• 尽早将安全防护最佳实践嵌入到容器生命周期中。Kubernetes 安全防护应让开发人员和 DevOps 团队放心地构建和部署生产就绪型应用。
• 使用 Kubernetes 原生安全防护控制。原生控制可以防止安全控制与编排器发生冲突。 
• 让 Kubernetes 划定补救的优先顺序。

要保护云原生应用及底层基础架构，需要对企业/机构的安全防护方法做出重大改变：企业/机构必须在应用开发生命周期的早期应用控制，并使用内置控制实施可预防运行及可扩展性问题的策略，同时紧跟越来越密的发布时间表。

红帽® Kubernetes 高级集群安全防护是 Kubernetes 原生安全平台，使企业/机构能够在任何地方更安全地构建、部署和运行云原生应用。该解决方案有助于提高应用构建过程中的安全性，保护应用平台和配置，还能检测并应对运行时问题。