探索容器安全性:运行您信任的内容; 隔离你不想要的东西

2020-12-15 09:07:59

从漏洞到加密劫持,再到更多的加密劫持,在整个2019年都有大量安全事件使容器用户保持警惕。随着Kubernetes被用于管理大多数基于容器的环境(以及越来越多的混合环境),Forrester不足为奇研究人员在2020年的预测中指出,需要“在日益混合的云世界中保护应用程序和数据的安全”。

无论您是使用Google Kubernetes Engine在云中运行还是与Anthos混合运行,我们都希望Google Cloud容器安全团队受到良好的保护,并让您全面了解容器的安全性。在2020年开始之际,这里有一些有关如何保护Kubernetes环境的建议,以及近期GKE功能和资源的细分。

我们在2019年看到的许多漏洞通过另一个过于受信任的组件破坏了容器供应链或特权提升。重要的是,您必须信任自己的运行方式,并在容器中应用纵深防御原则。为了帮助您做到这一点,现在可以普遍使用Shielded GKE节点,并且不久之后即可使用Workload Identity,这是一种将GKE应用程序认证为遵循最佳实践安全性原则(例如防御机制)的其他Google Cloud服务的方式-深度。

屏蔽GKE节点屏蔽GKE节点可确保集群中运行的节点是Google数据中心中经过验证的节点。通过将Shielded VM的概念扩展到GKE节点,Shielded GKE节点从两个方面提高了基准GKE安全性:

节点操作系统的来源检查:可加密验证的检查,以确保节点操作系统在Google数据中心的虚拟机上运行

增强的rootkit和bootkit保护:安全和可衡量的启动,虚拟可信平台模块(vTPM),UEFI固件和完整性监控

现在,在创建新集群或升级现有集群时,可以打开这些“ Shielded GKE节点”保护。有关更多信息,请阅读文档。

工作负载标识您的GKE应用程序可能使用其他服务(例如数据仓库)来完成其工作。例如,以“仅运行您所信任的内容”为宗旨,当应用程序与数据仓库进行交互时,该仓库将要求对您的应用程序进行身份验证。从历史上看,这样做的方法与安全性原则不符,它们过于宽容,如果受到威胁,则有可能产生较大的爆炸半径。

Workload Identity可帮助您遵循最低特权原则,并通过具有短期凭证的Google托管服务帐户自动进行工作负载身份验证,从而降低爆炸可能性。在Beta启动博客和文档中了解有关Workload Identity的更多信息。我们即将推出工作负载身份的一般可用性。

增强您不信任的工作负载的安全性但是,有时,您不能自信地保证您正在运行的工作负载。例如,一个应用程序可能使用了组织外部的代码,或者它可能是一个软件即服务(SaaS)应用程序,它吸收了未知用户的输入。对于这些不受信任的工作负载,工作负载与主机资源之间的第二层隔离是遵循深度防御安全性原则的一部分。为了帮助您做到这一点,我们发布了GKE沙盒的一般可用性。

GKE沙箱GKE沙箱使用开源容器运行时gVisor来额外隔离一层地运行容器,而无需更改应用程序或与容器进行交互的方式。 gVisor使用用户空间内核来拦截和处理系统调用,从而减少了容器与主机之间的直接交互,从而减少了攻击面。但是,作为一项托管服务,GKE Sandbox提取了这些内部信息,为您提供了多层保护的单步简化。开始使用GKE沙盒。

随着越来越多的公司使用容器和Kubernetes对其应用程序进行现代化改造,决策者和业务领导者需要了解它们如何应用于他们的业务以及如何帮助他们确保安全。

容器安全性的核心概念专为对容器和Kubernetes不熟悉的读者而写,为什么容器安全性对您的业务很重要,可带您了解容器安全性的核心概念,例如供应链和运行时安全性。无论您是自己运行Kubernetes还是通过GKE或Anthos等托管服务运行,此白皮书都将帮助您连接Kubernetes等开源软件如何响应漏洞以及这对您的组织意味着什么。

新的GKE多租户最佳做法指南多租户,当一个或多个集群在租户之间共享时,通常被实现为节省成本或提高生产率的机制。但是,错误地将群集配置为具有多个租户或相应的计算或存储资源,不仅会否定这些节省的成本,而且还会使组织容易受到各种攻击。我们刚刚发布了新指南GKE企业多租户最佳实践,它可以指导您设置多租户集群,并着眼于可靠性,安全性和监控。阅读新指南,查看相应的Terraform模块,并提高多租户安全性。

了解Google如何在内部实现云原生安全性正如业界正在从基于单片应用程序的架构过渡到分布式“云原生”微服务一样,Google也一直在从基于边界的安全性过渡到云原生安全性。 在两个新的白皮书中,我们发布了有关内部如何执行此操作的详细信息,包括云原生安全性背后的安全性原则。 详细了解Google的原生云安全模型BeyondProd; 关于Borg的二进制授权,它讨论了我们如何确保代码出处和使用代码身份。 安全是一个持续的过程。 无论您是刚开始使用GKE还是已经在Anthos中跨云运行集群,请随时了解Google的最新容器安全功能,并在集群强化指南中了解如何实施它们。