云原生安全和 Kubernetes

Kubernetes 基于云原生架构，并借鉴了CNCF有关云原生信息安全良好实践的建议。

继续阅读本页，了解 Kubernetes 如何设计以帮助你部署安全的云原生平台。

云原生信息安全

CNCF 关于云原生安全的白皮书 介绍了适用于不同生命周期阶段的安全控制和实践。

开发阶段

• 确保开发环境的完整性。
• 在设计应用时，遵循信息安全的良好实践，并根据实际情况进行调整。
• 将最终用户的安全作为解决方案设计的一部分。

要达到这些目的，你可以：

1. 采用诸如零信任类似的架构，尽可能缩小攻击面，对内部威胁也有效。
2. 建立考虑安全问题的代码审查流程。
3. 构建系统或应用程序的威胁模型，确定信任边界。利用该威胁模型识别风险，并帮助找到处理这些风险的方法。
4. 合理的采用高级的安全自动化机制，例如模糊测试和安全混沌工程。

分发阶段

• 针对你所运行的容器镜像，确保供应链安全。
• 针对运行应用程序的集群或其他组件，保证其供应链安全。例如：其他组件可能是你的云原生应用用于数据持久化的外部数据库。

要达到这些目的，你可以：

1. 扫描容器镜像和其他制品以查找已知漏洞。
2. 确保软件分发时采用传输加密技术，并建立软件源的信任链。
3. 在有更新，尤其是安全公告时，采用并遵循更新依赖项的流程。
4. 使用数字证书等验证机制来保证供应链可信。
5. 订阅信息反馈和其他机制，以提醒你安全风险。
6. 严格限制制品访问权限。将容器镜像存储在私有仓库，仅允许已授权客户端拉取镜像。

部署阶段

确保对要部署的内容、可部署的人员和可部署的位置进行适当限制。你可以采取分发阶段的举措，例如验证容器镜像制品的加密身份。

你可以部署不同的应用程序和集群组件到不同的命名空间中。容器和命名空间都提供了与信息安全相关的隔离机制。

当你部署 Kubernetes 时，也是在为应用程序的运行环境奠定基础：一个或多个 Kubernetes 集群。该基础设施必须提供上层所期望的安全保障。

运行阶段

运行阶段包含三个关键领域：访问、计算和存储。

运行阶段的防护：访问

Kubernetes API 是集群运行的基础。保护 API 是提供可靠的集群安全性的关键。

Kubernetes 文档中的其他页面更详细地介绍了如何设置访问控制的具体细节。安全检查清单为你的集群提供了一套建议的基本检查。

除此之外，加固集群还意味着对访问 API 实施有效的身份认证和鉴权。使用 ServiceAccount 为工作负载和集群组件提供和管理安全身份。

Kubernetes 使用 TLS 保护 API 流量；确保在部署集群时采用了 TLS（包含工作节点和控制平面间的流量）加密方式，并保护好加密密钥。如果使用 Kubernetes 自带的证书签名请求 API，特别注意不要滥用它们。

运行阶段的防护：计算

容器提供了两种功能：不同应用程序间的隔离，以及将这些隔离的应用程序合并运行到同一台主机的机制。隔离和聚合这两个方面意味着运行时安全需要权衡利弊，并找到合适的平衡点。

Kubernetes 依赖容器运行时来设置和运行容器。Kubernetes 项目不会推荐特定的容器运行时，你应当确保选用的运行时符合你的信息安全需要。

要在运行时保护计算资源，你可以：

1. 为应用程序强制采用 Pod 安全性标准，确保它们仅以所需权限运行。

2. 在你的节点上运行专门为运行容器化工作负载的而设计的专用操作系统。它通常基于只读操作系统（不可变镜像），只提供运行容器所必须的服务。

   容器化专用操作系统有助于隔离系统组件，并在容器逃逸时减少攻击面。

3. 定义 ResourceQuota 以公平分配共享资源，并使用LimitRange 等机制确保 Pod 定义了资源需求。
4. 划分工作负载到不同节点上来提高隔离性。使用来自 Kubernetes 本身或生态系统的节点隔离机制，以确保具有不同信任上下文的 Pod 在不同的节点上运行。
5. 使用提供安全限制的容器运行时。
6. 在 Linux 节点上，使用 Linux 安全模式，例如 AppArmor 或者 seccomp。

运行阶段的防护：存储

要保护你的集群和应用运行使用的存储，你可以：

1. 为你的集群集成提供静态加密的外部存储插件。
2. 为 API 对象启用静态加密。
3. 使用备份保证数据的持久性。在需要的时候，验证备份数据的可恢复性。
4. 集群节点和它们所依赖的任何网络存储都需要认证才能连接。
5. 在你的应用程序中实现数据加密。

对于加密密钥来说，在专用硬件中生成这些密钥是防范泄密风险的最佳防护。硬件安全模块可以让你在不允许将安全密钥拷贝到其他地方的情况下执行加密操作。

网络和安全

你也应当考虑网络安全措施，例如 NetworkPolicy 或者服务网格。一些 Kubernetes 的网络插件使用虚拟专用网络（VPN）叠加等技术，可以为集群网络提供加密功能。从设计上，Kubernetes 允许你在你的集群中使用自有网络插件。如果你使用托管 Kubernetes，提供商可能会为你选择一个网络插件。

你选用的网络插件和集成方式会对传输中的信息安全产生重大影响。

可观测性和运行时安全

Kubernetes 允许你使用外部工具扩展集群。你可以选择第三方解决方案帮助你监控或排查应用程序或运行集群的故障。Kubernetes 自身还内置了一些基本的可观测性功能。运行在容器中的代码可以生成日志，暴露指标或提供其他的可观测数据；在部署时，你需要确保你的集群提供适当级别的安全保护。

如果你配置了指标看板或其他类似的组件，审查暴露指标数据到看板的组件链路和看板本身。确保整个链路设计具有足够的弹性和足够的完整性保护，只有这样，即便是在集群降级导致的事件发生时，你也可以依赖它。

在适当的情况下，在 Kubernetes 层之下部署一些安全举措，例如加密后启动或验证分发时间（有助于确保日志和审计记录的真实性）。

对于高安全级别需求环境，部署加密保护措施，以确保日志防篡改和保密。

接下来

云原生安全

• CNCF 有关云原生安全的白皮书。
• CNCF 有关加固软件供应链的最佳实践白皮书。
• Fixing the Kubernetes clusterf**k: Understanding security from the kernel up（FOSDEM 2020）
• Kubernetes 安全最佳实践（Kubernetes Forum Seoul 2019）
• 朝着开箱即用的测量启动前进（Linux Security Summit 2016）

Kubernetes 和信息安全

• 安全
• 保护集群
• 针对控制平面传输中的数据加密
• 静态加密机密数据
• Secret
• Kubernetes API 访问控制
• 针对 Pod 的网络策略
• Pod 安全性标准
• 容器运行时类