Cum a progresat stabilitatea Kubernetes în ultimii ani?
Publicat: 2022-01-20
Cum s-a dezvoltat siguranța Kubernetes în noile decenii?
A existat o dezvoltare fără precedent în adoptarea Kubernetes, practic 70% dintre companii și-au extins utilizarea ca rezultat direct al pandemiei. Acest lucru are ca rezultat ca securitatea organizației să fie contestată ca niciodată până acum, ceea ce face ca cele două complexități sporite și puncte oarbe.
Grupurile de protecție chiar nu au vizibilitate pentru fiecare proiect individual Kubernetes, ceea ce face ca este aproape de nerealizat să le securizeze pe toate la viteza cu care lucrează dezvoltatorii.
Nu doar reputația în creștere a Kubernetes creează o dificultate. Natura dinamică a arhitecturii native cloud este, de asemenea, o situație. De fapt, 61% dintre companii spun că mediile lor cloud se modifică în fiecare minut sau mai puțin și, practic, o treime spune că se adaptează cel puțin la un moment dat pe al doilea. Toată această transformare conduce la o creștere exponențială a varietății de noi dispozitive și a identităților de dispozitive corespunzătoare – fie ele microservicii, containere sau mașini digitale. Identitățile echipamentelor sunt certificatele și cheile pe care sistemele le folosesc pentru a vorbi cu fiecare în mod criptat, păstrând datele fără riscuri și protejate.
În timp ce majoritatea acestor scopuri vor fi rotite în sus și în jos într-o diferență de secunde, ele au nevoie totuși de un ID, care trebuie gestionat pe parcursul întregului său ciclu de viață. Aici devine dificil. Întreprinderile întâmpină acum dificultăți în a emite și a gestiona toate aceste identități în ritmul și scara necesare pentru procedura eficientă a companiilor cloud. Acest lucru creează, totuși, capcane suplimentare de securitate și întreruperi ale aplicațiilor din cauza gestionării proaste a identităților mașinilor. Acest lucru înseamnă, de obicei, că există o mulțime de identități de mașini orfane rămase în rețele, care toate prezintă un risc inerent de securitate.
Există mult mai multe atacuri decât înainte sau observăm doar că țintim cu precizie Kubernetes?
Cu mult mai multe companii care aplică Kubernetes decât oricând înainte, acest lucru îi determină pe hackeri să-l vadă într-un nou format ușor. Deci, nu doar că vedem mai multe atacuri decât înainte, ci că infractorii cibernetici găsesc noi alternative la câștigul financiar. În prezent, în ultimele luni, am fost martori ai grupului de infracțiuni cibernetice Staff TNT folosind avantajele clusterelor Kubernetes configurate greșit. După ce au primit prima intrare, malware-ul lor, numit Hildegard, a fost echipat pentru a accesa cifre mai mari de containere prin utilizarea cheilor SSH nesigure și a altor identități de mașină chiar înainte de implementarea unui criptominer.
Încă un atac a observat persoane rău intenționate din Azure, capabile să ocolească ocaziile cloud ale altor clienți doar în cadrul furnizării de containere ca asistență Microsoft. Această infiltrare „Azurescape” este o ilustrare diferită a modului în care atacatorii pot folosi Kubernetes pentru a fura informații delicate, a permite cripto mining sau pentru a executa cod periculos. În timp ce dezvoltatorii de cloud au o bună înțelegere cu Kubernetes, nu este posibil din punct de vedere fizic pentru ei să fie în măsură să implementeze controale solide de stabilitate pentru fiecare ocazie individuală de cloud solitar. Hackerii sunt informați despre acest lucru și îl folosesc foarte bine, evoluând tehnicile și procedurile de atac. Acesta este ceea ce se văd ca persoane precum Funds A și Docker care se confruntă cu încălcări importante.
Pe măsură ce Kubernetes câștigă mult mai multă acceptare, ne așteptăm să vedem creșterea varietății de atacuri. Asta cu excepția cazului în care, desigur, companiile încep să ia un rol suplimentar în apărarea mediilor lor Kubernetes.
Care sunt erorile frecvente pe care companiile le construiesc în cadrul implementărilor Kubernetes?
Ușurința de utilizare și procedurile de bază esențiale pentru implementarea Kubernetes este unul dintre numeroasele sale avantaje. Acestea fiind spuse, acest lucru provoacă și una dintre cele mai răspândite gafe create de companii. Destul de mulți se bazează foarte mult pe opțiunile implicite ale Kubernetes, care permite implementarea rapidă a aplicațiilor noi, chiar dacă aceste opțiuni nu sunt protejate în mod inerent. De exemplu, regulile de rețea implică că toate aplicațiile pot comunica între ele, fără constrângeri. Între timp, scopurile pot folosi, de asemenea, orice imagine de container, o varietate de fișiere static cu cod executabil, indiferent dacă a venit din surse nesigure. Această dependență excesivă deschide întreprinderile către o întreagă serie de vulnerabilități de care infractorii cibernetici le folosesc în mod semnificativ.
O altă afacere populară pe care o construiesc atunci când ajunge la Kubernetes este configurarea greșită și gestionarea greșită a identităților dispozitivelor. Aceasta este o perspectivă înfricoșătoare, oferită că aceste identități expiră după o perioadă scurtă de timp și sunt cruciale pentru protejarea faptelor în tranzit între scopuri. Dacă acestea sunt configurate greșit sau sunt uitate, atunci este posibil ca hackerii să fure sau să falsifice acele identități și să le folosească pentru a efectua atacuri. Acest lucru nu numai că ar putea duce la eșecul unor încărcături de lucru semnificative, dar informațiile delicate și faptele ar putea fi deplasate, și un control și mai mare poate fi oferit unui atacator care încearcă să găsească pentru a trece peste o rețea completă.
Acest lucru este stresant atunci când credeți că o explozie a identităților mașinilor, împreună cu caracterul dinamic al cloud-ului, sugerează că managementul ghidului nu este pur și simplu atins. În același timp, îmbunătățirea consecventă a noilor identități sugerează că se deschid în mod regulat găuri de siguranță pe măsură ce constructorii construiesc mult mai multe și programe suplimentare fără a utiliza managementul calității pentru a le testa în funcție de așteptările de protecție.
În plus, organizațiile nu reușesc să își asume responsabilitatea pentru stabilitatea lor. Ei vor trebui să se conformeze mult mai bine cu cel mai eficient exercițiu de securitate și să îmbrățișeze o societate DevSecOps în care siguranța este creată ca o prioritate ideală încă de la început. Eșecul de a face acest lucru face ca corporațiile să intre în probleme. Odată cu nevoia tot mai mare de furnizori digitali, constructorii sunt concentrați în mod constant doar pe construirea și inovarea pentru a accelera timpul de sector. În schimb, trebuie să se alinieze mai bine cu grupurile de securitate în implementările lor Kubernetes pentru a se asigura că sunt în continuare protejați și monitorizați pentru orice dificultăți care ar putea apărea.
Ce pași pot lua corporațiile în mod proactiv pentru a-și păstra infrastructura Kubernetes în siguranță de atacatori?
Investigarea din Canonical arată că mult mai mult decât o persoană din două corporații este provocată de o deficiență a capabilităților Kubernetes în proprietate. 1 acțiune pe care o pot întreprinde organizațiile pentru a face față acestei deficiențe în creștere a competențelor este participarea cu experți pentru a educa și a îmbunătăți competențele membrilor personalului despre cum să aibă grijă de infrastructura Kubernetes. În același timp, corporațiile vor trebui să-și accelereze maturitatea cloud pentru a se asigura că sunt conștiente de toate provocările și modalitățile de atenuare a amenințărilor. Chiar dacă echipele de dezvoltare sunt entuziasmate de echipamentele pe care le au la dispoziție și sunt ocupate să creeze aplicații indigene în cloud, grupurile de securitate încă se luptă pentru a se menține.
Cu toate acestea, creșterea maturității cloud nu este o sarcină simplă. Tehnologiile native din cloud sunt noi și majoritatea organizațiilor au conștientizare și experiență limitate cu acestea. De aceea, este foarte important ca corporațiile să lucreze cu însoțitori care pot oferi capabilitățile, procesele și echipamentele importante pentru a ajuta la dezvoltarea rapidă și protejată în cloud.
Întreprinderile trebuie să îmbrățișeze și sistemele de automatizare. Aceasta constă în automatizarea emiterii, configurării și gestionării identităților mașinilor, astfel încât dezvoltatorii să poată implementa noi aplicații fără a se stresa cu privire la securitatea sau integritatea infrastructurii în care se implementează.
Automatizarea va asigura absența tensiunii de la angajații angajați excesiv. În locul său, ei își pot concentra timpul și energia pentru a aduce beneficii afacerii. Acest lucru va asigura o anumită vizibilitate în timp real, respectarea criteriilor de siguranță și capacitatea de a reacționa la riscurile de protecție în timp real.
În ce funcție are încredere zero participă la apărarea continuă a Kubernetes?
Zero-rely on va avea o poziție din ce în ce mai importantă pentru a participa la securitatea continuă a Kubernetes. Cu atât de multe situații și încărcături de lucru în creștere, se îndreaptă să fie imposibil să gestionezi identitățile echipamentelor tuturor acelor oameni și să fie echipat pentru a valida fiecare software și persoană din procedură. Acest lucru este deosebit de real atunci când unele containere vor fi rotite în sus și în jos în câteva secunde.
Prin urmare, trebuie executată o tehnică zero-credință prin care se presupune că fiecare aplicație dorește să fie verificată și autentificată tot timpul.
Pentru ca aceasta să facă treaba în mediile indigene cloud, încrederea trebuie să fie impusă la nivelul volumului de lucru, identitățile mașinilor dobândind o poziție fundamentală. Automatizarea va fi vitală pentru a avea grijă de aceste identități cu o tactică de zero bazare pe o taxă care va menține pasul cu dezvoltarea modernă și amploarea dorită în scopuri de organizare de masă.
Chintan Bellchambers, manager de articole, Jetstack