多云增加Kubernetes安全風(fēng)險(xiǎn)
如今,相比本地(47%)或單一公有云(42%),擁有生產(chǎn)型Kubernetes工作負(fù)載的企業(yè)更多地選擇多家公有云服務(wù)提供商(52%)運(yùn)行云原生應(yīng)用��。此外,每家云服務(wù)提供商都以各自的方式部署托管式Kubernetes服務(wù)����,使開(kāi)發(fā)者更容易使用托管式Kubernetes集群中的數(shù)據(jù)庫(kù)、無(wú)服務(wù)器計(jì)算和負(fù)載平衡器等基本云服務(wù)。這使得對(duì)整個(gè)應(yīng)用基礎(chǔ)架構(gòu)的可見(jiàn)性需求��,包括Kubernetes和云資源之間的關(guān)系�,成為了解安全風(fēng)險(xiǎn)的重中之重。此外����,對(duì)于開(kāi)發(fā)者和IT團(tuán)隊(duì)而言,建立一套統(tǒng)一的方法來(lái)管理所有云服務(wù)提供商和數(shù)據(jù)中心的安全態(tài)勢(shì)并非易事�。
Kubernetes和云安全態(tài)勢(shì)管理
CloudHealth Secure State提供統(tǒng)一的Kubernetes和云安全態(tài)勢(shì)管理功能(KSPM)�����,使客戶(hù)能夠深入了解500種服務(wù)和資源類(lèi)型的錯(cuò)誤配置風(fēng)險(xiǎn)�,包括公有云或數(shù)據(jù)中心中的托管式和自我管理式Kubernetes集群。
違規(guī)行為:EKS ServiceAccount不應(yīng)具有特權(quán)IAM角色
深入洞察安全風(fēng)險(xiǎn):用戶(hù)現(xiàn)在可以利用多云搜索來(lái)檢查Kubernetes資源配置并將與集群內(nèi)部或外部其他資源的關(guān)系可視化���。由于支持1000個(gè)安全最佳實(shí)踐和20個(gè)合規(guī)框架��,用戶(hù)可以主動(dòng)識(shí)別高級(jí)風(fēng)險(xiǎn)以防范云劫持���,例如Kubernetes ServiceAccount角色與云賬戶(hù)管理員IAM角色之間的連接(圖-2)。憑借對(duì)Amazon EKS的支持�����,Azure Kubernetes Service、Google Kubernetes Engine�、Tanzu Kubernetes Grid、Red Hat OpenShift�����、Rancher和其他Kubernetes開(kāi)發(fā)者團(tuán)隊(duì)可以改善基礎(chǔ)架構(gòu)的安全性與合規(guī)性���,為他們?cè)诠性苹驍?shù)據(jù)中心的現(xiàn)代應(yīng)用提供支持���。
加快預(yù)防響應(yīng):CloudHealth Secure State開(kāi)創(chuàng)了事件驅(qū)動(dòng)微庫(kù)存架構(gòu)的先河,它能夠在配置變更通知后的6秒內(nèi)檢測(cè)出95%的安全和合規(guī)違規(guī)行為���,然后根據(jù)擴(kuò)散半徑為每個(gè)違規(guī)行為分配一個(gè)風(fēng)險(xiǎn)分?jǐn)?shù)�,使用戶(hù)能夠更容易地分辨并優(yōu)先處理風(fēng)險(xiǎn)最高的違規(guī)行為���。通過(guò)使用我們的低代碼方法����,用戶(hù)可以在幾分鐘內(nèi)創(chuàng)建自定義安全與合規(guī)規(guī)則及框架�,進(jìn)一步加強(qiáng)治理標(biāo)準(zhǔn),發(fā)現(xiàn)原本無(wú)法發(fā)現(xiàn)的錯(cuò)誤配置。我們的使命是幫助您的團(tuán)隊(duì)在犯罪分子實(shí)施違規(guī)操作之前主動(dòng)識(shí)別和解決安全問(wèn)題�。
圖-3 開(kāi)發(fā)者請(qǐng)求1個(gè)月的安全例外來(lái)進(jìn)行測(cè)試
更容易實(shí)施安全措施:在一個(gè)大型企業(yè)中,實(shí)現(xiàn)云安全的關(guān)鍵在于將警報(bào)高效傳遞至分布在各地的團(tuán)隊(duì)并減少誤報(bào)���。CloudHealth Secure State提供一個(gè)先進(jìn)的警報(bào)框架����,使管理員能夠自定義警報(bào)信息��,提供公司安全政策和補(bǔ)救步驟方面的指導(dǎo)�����。通過(guò)自動(dòng)化�����,開(kāi)發(fā)者可以根據(jù)預(yù)先定義的標(biāo)準(zhǔn)(如安全政策���、風(fēng)險(xiǎn)或資源標(biāo)簽)請(qǐng)求安全政策例外,以便減少警報(bào)數(shù)量����。管理員則可以拒絕無(wú)效的請(qǐng)求或批量批準(zhǔn)特定期限的安全例外。交互式工作流程確保安全管理員和開(kāi)發(fā)者的合作效率,最大程度地減少風(fēng)險(xiǎn)����。
