在過去十年中，容器化工作負(fù)載和 Kubernetes (K8s) 席卷了軟件世界。不幸的是，隨著 Kubernetes 成為企業(yè)架構(gòu)的主要組成部分，它成為威脅參與者的高價值目標(biāo)。一般來說，容器安全，尤其是Kubernetes 安全，是當(dāng)今企業(yè)安全態(tài)勢的一個基本方面。本文將探討 Kubernetes 運(yùn)行時安全性，這是 K8s 安全性最關(guān)鍵的方面之一，包括七個基本的 K8s 運(yùn)行時安全性最佳實(shí)踐。

什么是 Kubernetes 運(yùn)行時安全性？

Kubernetes 運(yùn)行時安全是一組工具、實(shí)踐和技術(shù)，用于保護(hù)Kubernetes上運(yùn)行的容器工作負(fù)載。換句話說，Kubernetes 運(yùn)行時安全是工作負(fù)載保護(hù)和容器安全的子類別。Kubernetes 運(yùn)行時安全性處理從容器實(shí)例化到終止的安全性。這意味著運(yùn)行時安全性包括諸如容器是否以 root 身份運(yùn)行（它們不應(yīng)該！）之類的事情，但不包括諸如容器鏡像掃描之類的主題。

Kubernetes 運(yùn)行時安全挑戰(zhàn)和風(fēng)險

由于如今在 K8s 上運(yùn)行的應(yīng)用程序類型如此之多，因此對于容器或 Kubernetes 而言，沒有一套放之四海而皆準(zhǔn)的運(yùn)行時安全風(fēng)險。然而，大多數(shù)企業(yè)都面臨著一系列 Kubernetes 運(yùn)行時安全挑戰(zhàn)。

以下是與 Kubernetes 上的運(yùn)行時容器安全相關(guān)的四種常見安全風(fēng)險：

錯誤配置和不安全配置：2022 年，超過 900,000 個 Kubernetes 集群被發(fā)現(xiàn)在線暴露。這是一個很好的例子，說明 K8s 的不安全配置問題有多普遍。

權(quán)限升級：威脅行為者獲得 K8s 環(huán)境的訪問權(quán)限并升級到更高權(quán)限的用戶（例如，root）是教科書式的 Kubernetes 運(yùn)行時安全威脅。

惡意軟件：容器鏡像中的惡意軟件是一個嚴(yán)重的問題。2022 年，Docker Hub 上有超過 1,600 個可用容器，其中包含加密礦工和 DNS 劫持者等惡意軟件。在環(huán)境中實(shí)例化這些容器之一會立即在網(wǎng)絡(luò)邊界后方引入威脅。

K8s 和容器中的漏洞：即使容器本身不是惡意的，它們也常常容易受到具有已知漏洞利用的 CVE 的攻擊。

原生 Kubernetes 運(yùn)行時安全工具

Kubernetes 提供了一組有限的本機(jī)工具和控件，可以限制運(yùn)行時風(fēng)險。這些包括：

秘密：K8s 秘密是存儲 API 密鑰或密碼等信息的數(shù)據(jù)對象。使用 Secrets 可幫助企業(yè)將敏感數(shù)據(jù)排除在圖像和 Pod 規(guī)范之外。

準(zhǔn)入控制器：使用 K8s 準(zhǔn)入控制器，企業(yè)可以限制對 Kubernetes API 端點(diǎn)的修改（但不能讀取）。

網(wǎng)絡(luò)策略： Kubernetes 網(wǎng)絡(luò)策略類似于在網(wǎng)絡(luò)和傳輸層強(qiáng)制執(zhí)行策略的傳統(tǒng) ALLOW 和 BLOCK 防火墻規(guī)則。

審核日志：審核日志提供有關(guān)集群中發(fā)生的操作的詳細(xì)信息。例如，可以審計 API 活動。這些日志可以允許分析和檢測惡意行為。

RBAC：基于角色的訪問控制 (RBAC) 允許管理員根據(jù)實(shí)體的角色限制 K8s API 訪問。

由于原生 Kubernetes 運(yùn)行時安全工具不直接解決實(shí)時威脅檢測等用例，因此許多企業(yè)依賴更強(qiáng)大的工作負(fù)載保護(hù)工具。

7 個 Kubernetes 運(yùn)行時安全最佳實(shí)踐

這六個 Kubernetes 運(yùn)行時最佳實(shí)踐可以幫助企業(yè)限制許多 K8s 安全威脅。

不要以 root 身份運(yùn)行容器：以 root 身份運(yùn)行容器會為特權(quán)升級攻擊設(shè)置威脅參與者。簡單地不以 root 身份運(yùn)行可以減輕許多威脅。

審計和自動化容器配置：公開暴露本應(yīng)保密的數(shù)據(jù)或使數(shù)據(jù)庫實(shí)例面向互聯(lián)網(wǎng)是可能導(dǎo)致漏洞的錯誤配置示例。使用基礎(chǔ)架構(gòu)即代碼(IaC)審核配置和自動化配置部署是限制風(fēng)險的好方法。

鎖定網(wǎng)絡(luò)層：除了 K8s 網(wǎng)絡(luò)策略和 ??RBAC 之外，IPS/IDS和 NGFW 等網(wǎng)絡(luò)安全工具可以在威脅到達(dá)工作負(fù)載之前檢測并阻止它們。此外，企業(yè)應(yīng)盡可能避免暴露 Docker 守護(hù)程序套接字。

避免特權(quán)模式：就像不以 root 身份運(yùn)行容器一樣，企業(yè)應(yīng)避免使用 –privileged 標(biāo)志運(yùn)行容器。–privileged 標(biāo)志允許容器繞過各種確保系統(tǒng)安全的檢查。

盡可能使用只讀文件系統(tǒng)：只讀文件系統(tǒng)可防止威脅參與者將惡意軟件直接寫入容器的文件系統(tǒng)。這會限制威脅行為者執(zhí)行攻擊的能力。

只運(yùn)行受信任的容器鏡像：一旦管理員實(shí)例化受損鏡像，公共存儲庫就會威脅到容器運(yùn)行時環(huán)境中的安全。只有使用可信的容器鏡像才能幫助企業(yè)限制來自公共鏡像存儲庫的鏡像風(fēng)險。

保護(hù)內(nèi)核級別：SELinux、cgroups 和 AppArmor 等解決方案可以為 Kubernetes 運(yùn)行時安全性增加一層保護(hù)。例如，AppArmor 可以定義限制對各種內(nèi)核資源訪問的策略，以降低應(yīng)用程序利用它們不應(yīng)訪問的系統(tǒng)功能的風(fēng)險。

左移補(bǔ)充了有效的 Kubernetes 運(yùn)行時安全性

當(dāng)然，安全的任何方面都不存在于真空中。運(yùn)行時安全性很重要，但安全性在容器實(shí)例化之前就開始了。前面提到的一些 Kubernetes 運(yùn)行時安全最佳實(shí)踐清楚地表明了這一點(diǎn)，左移安全的概念使這一點(diǎn)更加明確。在開發(fā)生命周期的早期集成安全性并在整個過程中提供強(qiáng)大的運(yùn)行時保護(hù)，提供了兩全其美的方法。