Kubernetes 已经成为容器编排的事实标准。它引入了强大的管理功能，但也带来了一些严峻的安全挑战——尤其是在多云环境中。其中包括缺乏对设置的可见性、镜像的滥用、通信故障和监控困难。

理解 K8s 的安全挑战

Kubernetes 挑战的核心是需要以高度协调的方式管理大量动态的云工作负载。了解各种组件的工作状态并消除所有安全漏洞至关重要。云工作负载保护 (CWP) 和云安全态势管理 (CSPM) 工具虽然非常有用，但无法提供 Kubernetes 在复杂的多云框架中所需的可见性和控制级别。

例如，CWP 扫描并监控容器中的漏洞、错误配置、恶意软件、异常行为和暴露的数据。它有助于确定这些风险的优先级，以便相关人员可以相应地分配和调整资源。但容器风险只是难题的一部分。

另一方面，CSPM 工具执行基本级别的配置风险分析、环境可视、合规性报告并检测的最佳实践的差距。但他们缺乏对跨容器和云的身份和授权组件的可见性，这需要云基础设施授权管理 (CIEM)。

如果我们将以上的技术融合起来，可以达到对 Kubernetes 安全性的基线检测能力。例如，当 CWP 扫描云容器时，这些工具中的大多数无法看到管理容器的 Kubernetes 组件内部。因此，他们无法检测到经常未检测到的错误配置和其他风险。

然而，潜在的问题并不止于此。使用孤立的工具会引入高水平的误报，这会给使用者带来大量的降噪工作，并且跨多系统的降噪非常难于实现，这会影响他们的生产力并可能导致未解决的风险。

安全态势很重要

基于复杂的安全难题，开发专门的 KSPM，以实现完全而协调的整体安全框架能力，对于实现复杂的Kubernetes安全管理非常重要。Gartner的分析中进行了一种定义cloud-native application protection platforms, 也就是 CNAPP。他们将 CSPM、CWP 和 CIEM 统一在一个平台中，该平台解决了除容器安全之外的三个关键领域：

• 管理集群等服务资源。对 Kubernetes 级别设置和配置的深入分析非常重要，这会帮助管理人员提前发现安全问题，避免出现重大的安全事故。同时在管理平台中，应该提供对容器以外资源的可见性，包括虚拟机、无服务器功能和 Kubernetes 集群。

• 基于角色的访问控制 (RBAC) 的可见性。 RBAC极大程度的保护的Kubernetes的访问安全，在安全管理系统中应当将复杂而抽象的RBAC管理模型，转化为直观并易于理解的可视模型，以进行包括 Kubernetes IAM 机制在内的精细监督和控制。

• 网络配置。控制各种与网络相关的问题至关重要，包括 API 访问、 pod 之间进行未经授权访问的错误配置策略、不安全的通信和环境中存在的暴露面的仪表板。一个强大的 Kubernetes 身份管理框架确保只有那些被授权访问网络资源的人才能这样做。它还有助于审计和合规性，同时可以将可见性、风险检测、异常检测以及自动修复提升到更高、更安全的水平。

容器之外的安全

精心设计的 KSPM 框架提供持续的安全管理功能，以保护组织并确保其符合行业标准和法规。采用合适工具和方法的组织发现他们有能力在 Kubernetes 中构建足够的安全性和访问控制。这包括更好地保护容器镜像、监控威胁和执行定期有效的安全审计。

最佳实践 KSPM 方法不会打折 CWP、CSPM 和其他容器安全方法。所有这些资源继续提供有价值的功能，以增强保护并帮助构建更易于管理和安全的云框架。然而，单独来看，这些工具都不足以应对云、容器和 Kubernetes 的复杂性。

总结

这些技术的正确组合提供了一种安全结构，可以驯服 Kubernetes 的混乱和复杂性。当企业采用 KSPM 时，安全团队能够以最大化 Kubernetes 价值的方式关联、确定优先级和补救风险，并大规模释放云创新。

关于HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和云原生安全检测。

Github 地址：
https://github.com/HummerRisk/HummerRisk

Gitee 地址：
https://gitee.com/hummercloud/HummerRisk