谷歌是如何加強Kubernetes容器安全的？

隨著眾多企業依賴Kubernetes來部署應用程序，這個開源容器編排項目近些年來變得越來越重要。越來越依賴的同時安全方面的審查也越來越嚴，尤其是在谷歌，谷歌提供一項名為谷歌Kubernetes引擎(GKE)的託管Kubernetes服務。

12月11日至13日KubeCon大會在西雅圖如期召開，谷歌的安全與隱私產品經理Maya Kaczorowski在之前舉辦的新聞發布會上概述了谷歌現在和將來為幫助保護Kubernetes所採取的措施。

她說：「客戶詢問的問題主要圍繞配置和安全地搭建Kubernetes。」

Kubernetes是一個最初由谷歌開發和領導的開源項目;自2015年以來，Kubernetes一直歸雲原生計算基金會(CNCF)監管。AWS和微軟Azure都運行各自的託管Kubernetes服務，還有來自多家供應商的商業產品，包括IBM、Red Hat、SUSE、Pivotal和思科等。GKE服務基於上游的Kubernetes項目，體現了谷歌對於Kubernetes在公共雲中如何運行的看法。

Kaczorowski表示，客戶向谷歌詢問GKE方面的諸多問題，包括基礎設施安全問題，許多企業很想知道如何利用Kubernetes安全功能來保護用戶身份，它們還很想知道軟體供應鏈以及某個特定的容器應用程序映像是否可以安全地部署。她特別指出，由於媒體報道Docker Hub中存在易受攻擊的應用程序，加上NPM事件流模塊最近爆出了問題，容器應用程序映像的安全性在2018年已成了許多企業關注的一大問題。

她說：「用戶擔心自己的環境會出現什麼意外。」

Kaczorowski補充道，比較精明的用戶在詢問運行時安全性問題以及如何識別存在惡意行為的容器。用戶還有興趣想了解如何對受安全問題影響的容器進行分析。

谷歌在做什麼?

谷歌不僅僅將上游Kubernetes直接拿來部署成GKE。確切地說，Kaczorowski表示谷歌在默認情況下實施安全最佳實踐。

她說：「我們不滿足於開源社區的現狀，落實了另外的限制措施，以保護用戶。」

GKE實施的最顯著的限制之一就是受限制的Kubernetes儀錶板。2018年，包括特斯拉和Weight Watchers在內的多家企業的Kubernetes環境遭到了攻擊，就因為它們任由Kubernetes儀錶板敞開、暴露於互聯網上。Lacework在6月19日發布的一項調查發現了21169個面向公眾的Kubernetes儀錶板，其中部署的300個使用敞開的管理儀錶板，並沒有任何必需的訪問登錄信息。

谷歌還利用私有集群和授權網路來幫助保護GKE用戶。

Kaczorowski說：「這麼做的目的是為節點提供私有IP地址，然後使用用戶白名單中的一組IP地址，對通過IP訪問控制面板予以限制。」

Kubernetes運行在操作系統上;以谷歌為例，這是一個極簡操作系統，經過加固，並專門構建。Kaczorowski表示，這個極簡操作系統基於谷歌的Chromium OS(支持谷歌Chromebook)。她表示，GKE OS需要盡量簡單，以便減小潛在漏洞的攻擊面。

她說：「它不需要很多東西，因為用戶和容器帶來了很多東西，於是谷歌為這一層構建了自己的操作系統，名為針對容器優化的操作系統(COS)，它建立在Chromium上。」

對IT人員來說，升級打上安全補丁始終是最佳實踐，而GKE通過其節點自動升級功能來做到這一點。Kaczorowski表示，GKE為用戶管理Kubernetes控制平面，包括更新該控制平面，並在需要時打補丁。

7月24日谷歌Next大會上宣布了另一項核心的谷歌容器安全功能，當時推出了Container Registry Vulnerability服務，該服務提供自動掃描容器映像的功能，幫助識別已知的安全漏洞。在Next大會上，谷歌還宣布了Binary Authorization，該服務可以在映像部署到生產環境之前驗證映像滿足某些要求。在5月3日的KubeCon歐洲大會上，谷歌宣布了容器運行時安全項目，包括與Aqua Security、Capsule8、StackRox、Sysdig和Twistlock達成合作夥伴關係。Kaczorowski在接受eWEEK的視頻採訪時詳細介紹了這個容器安全合作項目。

2019年展望

展望2019年，Kaczorowski預計IT安全領域會出現兩大趨勢。第一大趨勢是簡化一切。

她說「現在，做到讓正確配置的Kubernetes搭建並運行起來，用戶面臨的壓力相當大。於是在GKE中，我們做了大量的工作來簡化這方面，但對開源版本而言，這實在太困難了。」

Kaczorowski希望核心開源Kubernetes社區不僅僅滿足於簡化Kubernetes並提供更好的默認設置。

專門針對Kubernetes的攻擊是Kaczorowski預測會出現的另一個趨勢。她表示，到目前為止，針對容器的許多攻擊可以歸類為「路過式」攻擊，即攻擊者隨機掃描環境，尋找已知漏洞。

她說：「攻擊者甚至都沒有意識到在攻擊容器化的環境，他們可能甚至都不關心。我們可能會開始看到人們更頻繁地掃描Kubernetes漏洞。」

原文標題：How Google Is Improving Kubernetes Container Security，作者：Sean Michael Kerner

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！