以DevOps的速度实现安全：成熟，编排与检测

Posted 2021-04-16 分布式实验室

本文主要讲到，随着容器化和微服务（包括编排器Kubernetes）的广泛应用，给企业在构建设计安全的基础设施和应用程序带来了新的挑战和机遇，正确的使用和配置DevOps可以构建一个更加安全的环境。目前，我们处于容器、编排器、微服务和DevOps功能不断融合发展的时代，要抓住机会，追求构建更加安全可靠的系统。

容器和微服务技术（包括编排器Kubernetes）为构建设计安全的基础设施和应用程序提供了绝佳的机会。

容器化环境是数字化转型的核心，它正在以惊人的速度成为主流。云原生架构和以微服务为基础的应用程序对公司快速发展至关重要。为了尽可能安全快速发展，公司必须尽快使他们的容器安全策略和实现方式更成熟。

随着生产部署的加快，安全漏洞变得异常明显，这给企业带来了直接的风险。我们早已知道传统的安全工具和产品已经无法保护容器和微服务。大多数使用容器部署的公司都担心安全策略和投资不足，并希望有新的公司能提供专门的解决方案。

随着部署到新的容器安全平台，公司意识到他们还必须利用云原生和容器生态系统固有的安全能力和体系结构。容器和微服务技术（比如Kubernetes）为构建设计安全的基础设施和应用程序提供了绝佳的机会。这些技术的最佳安全平台是利用整个生态系统的强大功能，而不是添加从基础设施中分离出去的一部分安全功能。

新的挑战和战略转变

当构建和正确使用容器环境时，本质上会更加安全。但是，要安全地配置和运行这些系统需要一定的经验。通常，安全团队对容器或Kubernetes没有经验。许多公司正在根据采用的容器重新考虑它们的安全角色和职责。

加强Kubernetes安全性是组织为保护容器化应用程序所能做的最基本的事情之一。Kubernetes已经成为大多数容器部署的首选编排器。它之所以是一个强大的解决方案，部分原因在于您可以在多大程度上对其进行控制，但是有许多“旋钮”需要进行调整，这可能会导致错误。如果没有正确设置仪表板并实现基于角色的访问控制，则可能通过不必要的暴露引入业务风险。另外，因为Kubernetes的广泛应用，它正成为一个标准。

我们建议将时间花在保护和加固上——Kubernetes包含许多活动部件，考虑到它在应用程序开发中的角色，应该由哪个团队来保护它就成了问题。

DevOps更接近安全

随着云服务和云原生架构的兴起，CIO团队已经从提供和运行基础设施转向支持应用程序。现在，随着容器化，安全团队正在进行类似的转变，启用而不是操作安全功能。这是因为随着安全性越来越贴近应用程序，它就进入了DevOps领域。由于DevOps团队成员在构建、测试和部署应用程序方面的专业知识和核心角色，他们必须负责保护这些应用程序及其基础设施。安全团队可能仍将定义策略并设置护栏，但DevOps将越来越多地使用最接近容器化应用程序的安全工具。

DevOps还知道如何在软件开发生命周期的早期将安全性构建到基础设施中。通过容器技术的粒度，可以提高扩展性和敏捷度。在云原生环境中，控制层与数据层相互交织，可以编写一层逻辑来构建连续的、即时的执行。

容器和微服务使你能够在几乎连续的基础上进行修改（包括安全修复）。要修复问题，只需用一个好镜像替换一个坏镜像，停止掉受影响的容器，当这些容器重新构建时，它们将自动使用更新的镜像。这样，您就可以在不破坏整个应用程序的情况下解决安全漏洞。

通过将安全解决方案织入基础设施，并使其更接近应用程序，DevOps会让黑客非常头疼。如果他们成功渗透，坏人通常只能看到一个容器里的东西——扩大攻击范围意味着他们必须多次复制入侵策略。

给定容器固有的安全构造，安全性和DevOps团队可以一起工作来保护基础设施。安全团队成员不必完全理解所有的开发工具——他们可以专注于共享应用于新开发工具的安全原则和策略。如果DevOps和Security实现了一个集成了本地DevOps工具的容器安全平台，例如使用Kubernetes来执行网络策略，那么它们可以更好地学习如何以新的方式一起工作并使用彼此的语言。

追求卓越

智能的、可操作的、内置的可见性和控制应该是任何负责任的安全模型的组成部分。这已经是一个很高的要求了。使用容器技术，我们增加了可移植性的需求。对于试图跨混合和多云部署操作和保护容器的企业，安全模型必须是整体的、高度可移植的和深度集成的。健康、漏洞管理和预防是当今安全工作的方向。

随着使用容器化和云原生模型构建了更重要的基础设施，我们需要将注意力转移到监测上。

漏洞扫描和加固固然很重要，但是要处理运行时攻击，您需要监测功能。而且您不能手工修复——设计成快速伸缩和频繁迭代的系统，就像容器那样，需要自动化和机器学习。Kubernetes和容器提供了对监测到的所有内容自动执行特定响应的功能。最有效的安全解决方案将是那些使可操作的监测成为可能的方案——并消除适得其反的警报流。

还有更多的事情要做。由于容器、编排器、微服务和DevOps功能的聚合，我们正处于令人兴奋的各种可能性的中心。如果我们能把握这一势头，我们就能提高标准，促进可移植性和安全集成，鼓励合作，并进行战略投资，以建立整体的、可持续的系统，保护我们数字化改造后的世界。

原文链接：https://www.darkreading.com/vulnerabilities---threats/security-at-the-speed-of-devops-maturity-orchestration-and-detection/a/d-id/1333583

Kubernetes实战培训

Kubernetes实战培训将于2019年3月8日在深圳开课，3天时间带你系统掌握Kubernetes，学习效果不好可以继续学习 。本次培训包括：云原生介绍、微服务；Docker基础、Docker工作原理、镜像、网络、存储、数据卷、安全；Kubernetes架构、核心组件、常用对象、网络、存储、认证、服务发现、调度和服务质量保证、日志、监控、告警、Helm、实践案例等。