Kubernetes（通常稱為K8s）是來自Google云平臺的開源容器集群管理系統，用于自動部署、擴展和管理容器化（containerized）應用程序?！澳壳笆袌錾虾芏嗌虡I化容器管理平臺或者公有云服務，它們所用到的一些容器管理架構服務實際上都是基于K8s發展而來的，K8s在容器自動化管理工具方面占有主導地位，客觀上來講，它已然成為一種行業標準。”日前，在Kubernetes安全媒體溝通會上，Palo Alto Networks（派拓網絡）中國區大客戶技術總監張晨女士（Ann Zhang）如是說。

Palo Alto Networks（派拓網絡）中國區大客戶技術總監 張晨

（圖源：派拓網絡）

Kubernetes日漸流行，對其攻擊愈演愈烈

在企業數字化轉型的進程中，上云已經成為必然選項，特別是隨著混合云時代的到來，很多企業已經開啟了關鍵業務系統上云的進程，以滿足高速發展的業務對IT架構高性能、高可用、易擴展和高安全等需求。從云原生環境全生命周期的技術堆棧以及對主流商業云的支持和覆蓋上，容器是一個非?？焖俸捅憬莸拈_發環境，所以現在很多開發團隊都傾向于轉向用容器化平臺來進行應用的快速開發和部署，以適應前端業務部門的需要。

張晨介紹，Kubernetes本身是一種為容器管理應運而生的開源工具，設計之初并沒有考慮太多安全問題，所以很多安全控制機制相對來講比較缺失。去年派拓網絡Unit42安全威脅研究團隊發現Google Kubernetes Engine (GKE)存在多個漏洞及針對其的攻擊技術，這些漏洞不僅會影響Google Cloud 用于管理 Kubernetes 集群的最新產品GKE Autopilot，同時還會影響GKE標準。Unit42發現 GKE Autopilot 漏洞能夠讓攻擊者升級權限，并接管整個集群。攻擊者可以隱秘地竊取信息，部署惡意軟件，實施加密挖礦攻擊，以及破壞工作負載。雖然后來谷歌發布了一些補丁去修復漏洞，但很多基于它開發出來的商業化容器管理平臺或工具仍然存在安全隱患。

Kubernetes作為容器編排平臺，目前已廣泛用于管理、部署和擴展容器化應用。在容器環境下自動化管理工具的選擇上，Kubernetes是目前最主流的工具之一，因此它的使用基數非常大。云原生計算基金會（CNCF）最新調查顯示，83%的組織機構在其生產環境中運行 Kubernetes。在Kubernetes日漸流行的同時，其安全問題也會隨著本身龐大的生態系統的激增愈演愈烈，逐漸成為了網絡攻擊的熱點目標。

隨著 Kubernetes技術的不斷進步，目前簡單的錯誤配置和漏洞已經越來越少見，而攻擊者也在不斷升級攻擊行為。研究表明，即使是 Kubernetes 中最細微的問題，也可能成為攻擊的切入點。

防范Kubernetes攻擊，企業要怎么做？

針對Kubernetes的惡意攻擊越來越多，那么企業要采取哪些有效的措施，才能防范這些威脅呢？

GKE的事件已經表明，即使像谷歌這樣的安全廠商，當他在對Kubernetes進行二次包裝的時候，也會引入更多的安全風險，并且會通過例如說特權提升導致整個集群被攻破。這說明針對Kubernetes的攻擊越來越高級，正在從簡單的技術攻擊演變成高級的Kubernetes定制攻擊。

Palo Alto Networks（派拓網絡）架構師李國慶建議，“針對這種攻擊，如果僅僅是保護集群的外圍邊緣，肯定是不夠的。我們鼓勵企業能夠采用檢測和預防后續攻擊這樣的安全解決方案，來制定相關的安全審計策略?！?Kubernetes 管理員可以通過制定規則和采取審核措施，監控、檢測和預防集群中的可疑活動和權限升級。另外，應用 NodeAffinity、Taints 和 PodAntiAffinity 規則可以將高可靠性的 pod 與不可靠的 pod 分開。

在安全平臺的選擇上，為了保護整個云環境，最好的解決方案是采用全面的云原生安全平臺。

Palo Alto Networks（派拓網絡）Prisma Cloud 方案架構師 李國慶

（圖源：派拓網絡）

張晨介紹，在企業IT架構的混合云變遷過程中，云的規模使用已經成為不可阻擋的趨勢。在這個過程中，關于云安全有以下四點需要著重關注：

首先對于上云之后存在的安全合規問題或者安全漏洞，需要我們具備可見性；其次，當混合云已經成為很多企業選擇或正在使用的新型主流IT架構時，我們必須要對容器內部本身的安全問題做到及早發現；另外，很多企業在選擇公有云時，往往不只把業務放在一個公有云上，考慮到業務的連續性和避免單點故障，他們會采用多云架構。這時我們需要在企業的多云環境下進行深度的安全威脅發現；最后，容器的開發環境給開發團隊提供了一種非常敏捷的工作方式，可以非?？焖俚亻_發、集成和不斷地修正，然后投入生產。但這種快速敏捷的開發模式有可能對安全機制缺乏考慮，所以就需要開發和運維團隊能夠與安全團隊共同協作，將必要的安全控制機制在開發階段就融入到安全檢測中，做到安全前置，也就是我們常說的安全左移。

對于一個領先的全面云原生安全解決方案來說，應該覆蓋以上這四個方面，這也是現在整個混合云架構下企業面臨的安全挑戰。

Prisma Cloud：貫穿應用整個生命周期的全方位云原生安全

Prisma Cloud是派拓網絡推出的云原生安全解決方案。近年來，派拓網絡在公有云方案上進行了大力投入，不斷并購新的領先技術，并融入到Prisma Cloud平臺。

Prisma Cloud利用云服務提供商 API 提供對公有云環境的可視性和控制，同時利用單個統一的代理框架將安全性擴展到主機、容器和無服務器功能。其憑借對混合和多云環境的支持，實現了全面的云原生安全。

Prisma Cloud能快速全面地解決云端安全的一系列挑戰，提供實時的深度云資源報告、保持云端的合規性、保護云原生資源及賦能敏捷開發。Prisma Cloud 用戶可以啟用 Kubernetes準入支持，解決 Kubernetes權限升級問題。該功能可以有效防止針對Kubernetes 的攻擊。

在剛剛出爐的Forrester Cloud Workload Security評估中，Prisma Cloud憑借優秀的市場占有率和產品能力綜合排名最優。而產品能力的全面性以及對云原生環境全生命周期和相關技術堆棧的覆蓋等，成為客戶選擇Prisma Cloud的主要原因。

張晨表示，從2018年到現在，Prisma Cloud在全球范圍內的客戶已經實現了從0增加到近3000個，其中包括74%的財富100強企業，為超過25億個云資源提供保護。

Prisma Cloud全面云原生安全解決方案

（圖源：派拓網絡）

隨著企業數字化轉型的加速，上云已經成為必然選擇，在此過程中，不可避免地就會用到Kubernetes，可以預見，未來針對Kubernetes的攻擊還會繼續增多。就Kubernetes和與其類似的自動化工具而言，派拓網絡建議，無論是它所在的公有云配置本身，還是控制的主機節點，或是軟件安全的配置，亦或是訪問許可、漏洞，以及第三方軟件提供商，對其進行二次包裝的各個方面，都要進行全局統一策略下的安全建設、檢測和響應。選擇全面的云原生安全平臺，才能讓防御者有能力保護集群免受威脅。