我的编程空间,编程开发者的网络收藏夹
学习永远不晚

GKE 安全性:保护集群的 10 大策略

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

GKE 安全性:保护集群的 10 大策略

GKE 安全的基本概述

GKE 在许多层中保护您的工作负载,包括容器映像、运行时、集群网络以及对集群 API 服务器的访问。

因此,Google 建议采用分层的方法来保护您的集群和工作负载。为组织启用适当级别的灵活性和安全性以部署和维护工作负载可能需要一定程度的权衡,因为某些设置可能过于严格。

GKE 安全最关键的方面包括以下内容:

身份验证和授权;

控制平面安全性,包括组件和配置;

节点安全;

网络安全。

这些元素也反映在CIS基准中,这有助于围绕Kubernetes的安全配置构建工作。

为什么CIS基准对GKE安全至关重要?

处理 K8s 安全配置并不像是在公园里散步。

红帽 2022 年 Kubernetes 和容器安全现状发现,几乎四分之一的严重问题是可以修复的漏洞。近 70% 的事件是由于配置错误而发生的。

自互联网安全中心(CIS)发布以来,基准已成为全球公认的实施和管理网络安全机制的最佳实践。

CIS Kubernetes 基准测试涉及支持强大安全态势的 K8s 配置建议。它是为开源的 Kubernetes 发行版编写的,并且基本普遍适用。

独联体GKE基准测试实践

使用像 GKE 这样的托管服务,并非所有 CIS 基准上的项目都在您的控制之下。

这就是为什么有些建议不能直接自行审核或修改的原因。这些涉及:

控制平面;

Kubernetes 发行版;

节点的操作系统。

但是,您仍然需要注意升级运行工作负载的节点,当然还有工作负载本身。需要审核和修正对这些组件的任何建议。

您可以手动执行此操作,也可以使用处理 CIS 基准测试的工具。例如,使用 CAST AI 的容器安全模块,您可以在连接集群后的几分钟内大致了解基准差异。

该平台还会优先处理它识别的问题,以便您知道哪些项目需要优先修复。扫描集群时,您还可以根据行业最佳实践进行检查,以便更好地评估整体安全状况并计划进一步的 GKE 强化。

确保 GKE 安全的十大策略

1. 应用最小特权原则

此基本安全原则是指仅授予用户帐户执行预期功能所必需的权限。

它包含在 CIS GKE 基准 6.2.1 中:不希望使用计算引擎默认服务帐户运行 GKE 集群。

默认情况下,您的节点可以访问计算引擎服务帐户。它的广泛访问权限使其对多个应用程序有用,但它也具有比运行 GKE 集群所需的更多权限。这就是为什么您必须创建和使用最低特权服务帐户而不是默认帐户的原因。

2. 使用 RBAC 加强身份验证和授权

GKE 支持多个选项,用于通过基于角色的访问控制 (RBAC) 管理对集群的访问。

RBAC 支持在群集和命名空间级别更精细地访问 Kubernetes 资源,但它也允许你创建详细的权限策略。

CIS GKE 基准 6.8.4 强调需要优先使用 RBAC,而不是传统的基于属性的访问控制 (ABAC)。

另一个 CIS GKE 基准 (6.8.3) 建议使用组来管理用户,因为它简化了对身份和权限的控制。它还消除了在组中添加或删除用户时更新 RBAC 配置的需要。

3. 增强控制平面的安全性

在责任共担模式下,Google 会为您管理 GKE 控制平面组件。但是,您仍负责保护节点、容器和 Pod。

默认情况下,Kubernetes API 服务器使用公共 IP 地址。可以使用授权网络和专用群集来保护它,这使您能够分配专用 IP 地址。

您还可以通过执行常规凭据轮换来增强控制平面的安全性。启动该过程时,TLS 证书和群集证书颁发机构将自动轮换。

4. 定期升级您的 GKE 基础设施

Kubernetes 经常发布新的安全功能和补丁,因此让您的 K8s 保持最新状态是改善安全状况的最简单方法之一。

GKE 会自动为您修补和升级控制平面。节点自动升级也会自动升级集群中的节点。CIS GKE 基准 6.5.3 建议保持该设置。

如果出于任何原因,您需要禁用自动升级,Google 建议每月执行一次升级,并按照 GKE 安全公告了解关键补丁。

5. 保护节点元数据

CIS GKE 基准 6.4.1 和 6.4.2 提到了影响节点安全性的两个关键因素,这仍然是您的责任。

v0.1 和 v1beta1 计算引擎元数据服务器终结点在 2020 年被弃用并关闭,因为它们没有强制实施元数据查询标头。

一些针对 Kubernetes 的攻击依赖于访问虚拟机的元数据服务器来提取凭据。可以使用工作负载标识或元数据隐藏来防止这些攻击。

6. 禁用 Kubernetes 仪表板

几年前,攻击者获得特斯拉云资源并使用它们来挖掘加密货币的消息使世界感到震惊。在这种情况下,攻击媒介是一个 Kubernetes 仪表板,它向公众公开,没有身份验证或提升的权限。

如果您想避免跟随特斯拉的困境,建议遵守 CIS GKE 基准 6.10.1。该标准清楚地概述了在 GKE 上运行时应禁用 Kubernetes Web UI。

默认情况下,GKE 1.10 及更高版本禁用 K8s 仪表板。您还可以使用以下代码:

gcloud container clusters update CLUSTER_NAME \

    --update-addons=KubernetesDashboard=DISABLED

7. 遵循 NSA-CISA 框架

CIS Kubernetes Benchmark 为构建安全的运营环境提供了坚实的基础。但是,如果您想走得更远,请在安全程序中为 NSA-CISA Kubernetes 强化指南腾出空间。

NSA-CISA 报告概述了 Kubernetes 生态系统中的漏洞,并推荐了配置集群安全性的最佳实践。

它提供了有关漏洞扫描、识别错误配置、日志审核和身份验证的建议,帮助您确保适当解决常见的安全挑战。

8. 提高您的网络安全

在 GKE 中运行的大多数工作负载都需要与集群内外运行的其他服务进行通信。但是,您可以控制允许流经集群的流量。

首先,您可以使用网络策略来限制容器到容器的通信。默认情况下,可以通过网络访问所有群集 Pod IP 地址。您可以通过定义流经 Pod 的流量并为与配置的标签不匹配的流量停止它来锁定命名空间中的连接。

其次,您可以使用网络负载均衡器来平衡 Kubernetes Pod。为此,您需要创建与容器标签匹配的负载均衡器服务。您将拥有一个面向外部的 IP 映射到 Kubernetes Pod 上的端口,并且您将能够使用 kube-proxy 在节点级别过滤授权流量。

9. 保护容器对谷歌云资源的访问

您的容器和容器可能需要访问 Google Cloud 中的其他资源。有三种方法可以执行此操作:使用工作负载标识、节点服务帐户和服务帐户 JSON 密钥。

访问 Google Cloud 资源的最简单、最安全的选项是使用工作负载标识。此方法允许您在 GKE 上运行的 Pod 获取对 Google Cloud 服务帐户的权限。

您应该使用特定于应用的 Google Cloud 服务帐号来提供凭据,以便应用拥有在发生泄露时可以撤销的最低必要权限。

10. 获取 GKE 配置的密钥管理器

独联体 GKE 基准 6.3.1.建议使用云 KMS 中管理的密钥加密 Kubernetes 密钥。

Google Kubernetes Engine 为您提供了多种秘密管理选项。您可以在 GKE 中原生使用 Kubernetes 机密,但您也可以使用您管理的密钥和应用层机密加密在应用程序层保护这些机密。

还有像Hashicorp Vault这样的机密管理器,它们提供了一种一致的、生产就绪的方式来管理GKE中的机密。确保检查您的选项并选择最佳解决方案。

在几分钟内评估 GKE 的安全性

Kubernetes 生态系统不断增长,但其安全配置挑战也在不断增长。如果您想掌握 GKE 容器安全性,您需要能够识别潜在威胁并有效地跟踪它们。

借助 Kubernetes 安全报告,您可以根据 CIS 基准、NSA-CISA 框架和其他容器安全最佳实践扫描 GKE 集群,以识别漏洞、发现错误配置并确定其优先级。只需几分钟即可全面了解集群的安全状况。

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

GKE 安全性:保护集群的 10 大策略

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

GKE 安全性:保护集群的 10 大策略

Kubernetes生态系统不断增长,但其安全配置挑战也在不断增长。如果您想掌握 GKE 容器安全性,您需要能够识别潜在威胁并有效地跟踪它们。

Oracle口令安全性和保护策略探讨

Oracle数据库一直是企业中最广泛使用的数据库管理系统之一,因为它强大稳定且功能丰富。然而,在日益增长的网络威胁和数据泄露的背景下,确保数据库中的信息安全变得尤为重要。Oracle数据库的口令安全性和保护策略是确保数据库安全的关键一环。在
Oracle口令安全性和保护策略探讨
2024-03-02

保护云的五个网络安全策略

网络安全和风险管理已成为董事会工作议程的重中之重。据Gartner的调查显示,61%的首席信息官(CIO)加大了对网络和信息安全的投入。这家全球研究和咨询公司预测,到今年年底,信息安全和风险管理技术和服务方面的支出将增长12.4%。

数据保护需要基于AI的安全策略

随着AI解决方案的快速推出和将数据迁移到云的持续推动,数据领导者现在正在努力解决如何优先考虑数据安全性、敏捷性和可见性的问题,他们需要既能提供适当的数据保护,又能灵活使用数据来推动价值的解决方案。
AI人工智能2024-11-30

Linux服务器安全性:Web接口保护策略的关键要点

保护Linux服务器的Web接口是确保服务器安全性的关键要点之一。以下是一些保护Web接口的关键策略:1. 使用安全的身份验证机制:使用强密码策略,并确保仅授权的用户可以访问Web接口。可以考虑使用双因素身份验证来增加安全性。2. 定期更新
2023-10-10

Linux服务器安全性:Web接口保护策略的最佳实践

以下是Linux服务器Web接口保护策略的最佳实践:1. 使用防火墙:配置Linux服务器的防火墙以限制对Web接口的访问。只允许必要的端口(如80和443)对外开放,并禁止不必要的端口。2. 使用HTTPS:为Web接口启用HTTPS,以
2023-10-10

Linux服务器安全性:Web接口保护策略的最佳实践

Linux服务器Web接口保护策略最佳实践随着网络攻击加剧,保护Linux服务器上的Web接口至关重要。遵循最佳实践可显著降低风险,包括:强密码策略、身份验证框架和双因素认证输入验证和过滤以防止攻击安全会话令牌、会话超时和防劫措施数据加密和传输防火墙、IDS/IPS和Web应用程序防火墙日志记录、监控和SIEM软件更新、禁用不必要服务、安全标头和渗透测试安全意识培训
Linux服务器安全性:Web接口保护策略的最佳实践
2024-04-12

Linux服务器安全性:Web接口保护策略的关键要点

Linux服务器Web接口保护策略保障Linux服务器Web接口安全至关重要。关键策略包括:强密码策略双因素认证(2FA)SSL/TLS加密Web应用程序防火墙(WAF)入侵检测系统(IDS)漏洞管理日志记录和监控访问控制安全标头定期审计和渗透测试
Linux服务器安全性:Web接口保护策略的关键要点
2024-04-10

Linux服务器安全性:Web接口保护策略的持续演进

Linux服务器安全性:Web接口保护策略的持续演进维护Linux服务器的安全性至关重要,尤其是保护其Web接口。随着网络攻击技术的不断发展,保护策略需要持续演进。现代策略整合了WAF、IDS/IPS、CSP、HSTS和SOP等技术。人工智能、零信任和云端安全正在塑造未来的策略。最佳实践包括定期软件更新、正确配置WAF、多因素身份验证和安全审计。
Linux服务器安全性:Web接口保护策略的持续演进
2024-04-10

保护企业敏感数据安全的五种策略

随着数据泄露日趋普遍和严重,企业需要采取正确的策略来保护企业的敏感数据安全。使用正确的工具武装自己,以避免黑客入侵、盗窃或数据丢失,这一点至关重要。

Linux服务器安全性:优化Web接口保护策略的新思路

优化Linux服务器Web接口安全性传统安全措施不足以保护Linux服务器中的Web接口。本文提出了新的思路,包括:多因素身份验证、RBAC和会话保护HTTPS、内容安全策略和网络安全措施Web应用程序安全、定期代码审查和输入验证SIEM、应急响应计划和渗透测试
Linux服务器安全性:优化Web接口保护策略的新思路
2024-04-12

Linux服务器安全性:优化Web接口保护策略的新思路

Linux服务器的安全性对于保护Web接口至关重要。以下是一些优化Web接口保护策略的新思路:1. 使用防火墙:配置Linux服务器的防火墙以阻止未经授权的访问。只允许必要的端口和服务通过防火墙,并禁用不必要的服务。2. 实施访问控制策略:
2023-10-09

构建进攻性的网络安全防护策略

进攻性安全行动通常由道德黑客实施,这些网络安全专业人士会利用他们的黑客技能来发现和修复IT系统的漏洞。与真正的网络犯罪分子侵入系统窃取敏感数据或注入恶意软件不同,道德黑客是在获得许可的情况下进行模拟入侵。

云计算中的数据安全与隐私保护策略

文章目录 1. 云计算中的数据安全挑战1.1 数据泄露和数据风险1.2 多租户环境下的隔离问题 2. 隐私保护策略2.1 数据加密2.2 访问控制和身份验证 3. 应对方法与技术3.1 零知识证明(Zero-Know
2023-08-30

Linux服务器安全性:Web接口保护策略的创新解决方案

Linux服务器的安全性对于保护Web接口至关重要。以下是一些创新的解决方案来增强Web接口的安全性:1. 使用双因素认证:在Web接口登录时引入双因素认证可以提高安全性。除了常规的用户名和密码,用户需要提供第二个认证因素,如手机验证码或指
2023-10-18

Linux服务器安全性:Web接口保护策略的创新解决方案

Linux服务器Web接口安全强化方案创新的Linux服务器Web接口安全策略包括:多因素身份验证(MFA)基于风险的身份验证(RBA)入侵检测系统(IDS)Web应用程序防火墙(WAF)服务器强化安全日志记录和监视持续安全教育此外,以下解决方案提供进一步保护:基于机器学习的异常检测区块链技术云安全服务
Linux服务器安全性:Web接口保护策略的创新解决方案
2024-04-10

云服务器安全策略:保护你的数据和应用

1.强密码和身份验证在云服务器安全策略中,使用强密码和身份验证是至关重要的。确保你的服务器密码足够复杂,并定期更改密码。此外,启用多因素身份验证(MFA)可以提供额外的安全层,确保只有授权用户能够访问服务器。2.定期更新和维护定期更新和维护服务器操作系统、应用程序和安全补丁是保持服务器安全的关键。及时应用安全补丁可以修
2023-10-27

三个保护云服务器的安全策略,你知道吗?

各行各业都在关注的一个事情就是网络攻击,维护云服务器的安全是大家都特别重视的事情,因为如果云服务器出现问题会直接影响网站业务。那么企业该如何保障云服务器的安全呢?有哪些保护云服务器安全的策略?下面我们一起看看这三个常见的策略。

简析数据安全保护策略中的十个核心要素

定期对数据保护计划活动进行测试和演练,如数据备份和恢复、数据访问管理以及网络安全防护活动,可以确保这些重要计划的正常运行,并确保执行这些计划的员工了解其角色和责任。

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录