أكثر مشكلات أمان Kubernetes شيوعًا وكيف يمكنك التخفيف منها

نشرت: 2021-03-30

تعد Kubernetes والحاويات بثلاثة أشياء:

  • تطوير وإصدار تطبيق أسرع.
  • إصلاحات أسرع للأخطاء.
  • زيادة سرعة الميزة.

ومع ذلك ، غالبًا ما يأتي على حساب الأمان المخترق وهذا شيء غير مقبول في أي تقنية لتطوير الويب.

لإدراك حالة أمان Kubernetes ، إليك عاملين من استطلاع أجرته StackRox في نهاية عام 2020:

  • أفاد 90٪ من المشاركين في الاستطلاع أنهم واجهوا حادثًا أمنيًا يتعلق بالحاويات و Kubernetes في الأشهر الـ 12 الماضية.
  • اضطر 44 ٪ من المشاركين إلى تأخير إصدار طلباتهم بسبب مخاوف أمنية تتعلق بـ Kubernetes.

ما هي الأسباب الأكثر شيوعًا وراء هذه المخاوف الأمنية؟

أكثر مشكلات الأمان شيوعًا المتعلقة بـ Kubernetes
1. التهيئة الخاطئة

كشفت الدراسات الاستقصائية أن التعرضات الناتجة عن التهيئة الخاطئة هي أكثر المخاطر انتشارًا في أمان بيئات الحاوية و Kubernetes.

عند استخدام Kubernetes لإنشاء تطبيقات ذات حاويات ، فإن إدارة التكوين هي أكبر خطر على ممارسي الأمان.

ويرجع ذلك أساسًا إلى أن السوق مليء بأدوات فحص الثغرات الأمنية ولكن إدارة التكوين لا تزال تعتمد إلى حد كبير على الاعتبار البشري.

فيما يلي بعض النصائح حول تكوين بعض المكونات الشائعة لتطبيق حاوية للتأكد من عدم تعرض الأمان للخطر.

الصور:

تجنب استخدام أي برنامج ليس ضروريًا تمامًا. يتضمن ذلك أمثال مديري الحزم وأدوات الشبكة والعملاء مثل curl أو Unix shells.

تذكر أن استخدام أي برنامج يزيد من مخاطر الأمان. أيضًا ، استخدم فقط الصور من مصادر جديرة بالثقة.

الأسرار:

تجنب إخفاء الأسرار في الصور أو كشفها دون داع.

كممارسة آمنة ، استخدم أدوات إدارة سرية جديرة بالثقة لضمان أن عمليات النشر تزيد من الأسرار فقط عند الحاجة إليها.

مساحات الأسماء:

استخدم مساحات الأسماء بسخاء. إنها بمثابة حدود لـ Kubernetes وسياسات الشبكة. يمكن أن يحد استخدام مساحات الأسماء من آثار الهجوم ويمكن أن يحتوي على أخطاء وهجمات حتى لا تنتشر وتتسبب في المزيد من الدمار.

امتيازات وقت التشغيل:

توجد قاعدة امتيازات واحدة فقط: اسمح بأقل عدد منها لجعل البرنامج أكثر أمانًا.

سياسات الشبكة

وفقًا للإعدادات الافتراضية ، يمكن للقرون التحدث مع بعضها البعض بشكل مستقل في Kubernetes. ومع ذلك ، فمن الممارسات الجيدة تنفيذ سياسات الشبكة للحد من تفاعل البودات. يمكن أن يمنع هذا أي تهديد من الانتشار عبر الحاوية والتطبيق بأكمله.

التخزين المستمر

يجب أن يكون لديك رؤية مناسبة في تكوين واستخدام التخزين الدائم. هذا لأن هذا هو المتجه الوحيد المستمر في إعداد حاوية سريعة الزوال.

طائرة مراقبة

إذا كنت تدير مجموعات Kubernetes بنفسك ، فمن المهم جدًا تكوين مستوى التحكم. هذا لأن بعض المجموعات يمكن أن تتخذ قرارات عالمية وإذا أصيبت مجموعة يمكن أن تعرض النظام البيئي بأكمله للخطر.

أفضل طريقة للتخفيف من هذه المشكلات الأمنية ومختلف مشكلات الأمان الأخرى المتعلقة بالتكوين هي استخدام مجموعة من الجهود اليدوية والآلية للتأكد من أن التكوين يتم بطريقة تضمن أمان Kubernetes وبالتالي البرنامج الذي يمثل جزءًا منه من.

2. نقاط الضعف

تم العثور على عدد من الثغرات الأمنية المختلفة واستغلالها في Kubernetes وحاويات أخرى خلال السنوات القليلة الماضية.

تشمل أكثر عمليات استغلال الثغرات الأمنية شيوعًا ما يلي:

  • تعدين العملات المشفرة.
  • تثبيت البرامج الضارة.
  • التصعيد امتياز.
  • وصول المضيف.

النهج الفعال لإدارة الثغرات الأمنية هو شيء يجب أن يستمر طوال دورة حياة الحاوية ويجب أن يتضمن ما يلي:

  • تحديد ومعالجة الثغرات الأمنية في الصور ، بما في ذلك تلك الموجودة في نظام التشغيل المثبت.
  • كشف وتخفيف أي وجميع نقاط الضعف في مكتبات وقت تشغيل لغات البرمجة التي تستخدمها.
  • اتخاذ خطوات لمنع الصور التي تحتوي على نقاط ضعف محفوفة بالمخاطر من الوصول إلى سجل الحاويات الذي يسهل الوصول إليه.
  • اتخاذ تدابير لاحتواء التهديدات التي تنطوي على مخاطر أمنية على مستوى معين.
  • استخدام وحدات تحكم الدخول التابعة لجهات خارجية في مجموعات Kubernetes لمنع جدولة مكونات الحاوية المعرضة للخطر.
3. تهديدات وقت التشغيل

بمجرد التخفيف من جميع المشكلات في أمان Kubernetes ، تحتوي مرحلة وقت التشغيل على مجموعة فريدة من تهديدات الأمان الخاصة بها.

حتى إذا كنت قد أكدت على الأمن وقللت من المخاطر بكل طريقة ممكنة ، فقد يكون هناك تهديدات مختلفة من الخصوم في وقت التشغيل.

فيما يلي بعض الأشياء التي يمكنك القيام بها للتخفيف من هذه التهديدات:

مراقبة نشاط وقت التشغيل:

ابدأ عملية المراقبة مع معظم أنشطة الحاويات الأكثر صلة بالأمان. يتضمن ذلك أمثال نشاط العملية ، واتصالات الشبكة داخل وعبر الخدمات المعبأة في حاويات ، والاتصال من وإلى الخوادم والعملاء الخارجيين.

استفد من البيانات التعريفية

استفد من معلومات وقت الإنشاء ونشرها لتقييم الفرق بين النشاط المرصود والنشاط المتوقع لمعرفة ما إذا كان هناك أي نشاط مشبوه.

حافظ على اتصالات الشبكة المحدودة

وقت التشغيل هو الوقت الذي يمكنك فيه رؤية الاختلاف بين نوع حركة مرور الشبكة المسموح بها والمطلوبة لتشغيل النظام. هذه هي الفرصة التي يمكن استخدامها لإزالة أي اتصال غير ضروري قد يشكل تهديدًا لأمن Kubernetes.

مراقبة العمليات عن كثب

مراقبة التطبيق لفترة من الوقت لمعرفة جميع العمليات التي يتم تنفيذها من أجل حسن سير التطبيق. قم بعمل قائمة بجميع العمليات الأساسية وتحقق من التطبيق بشكل عشوائي لمعرفة ما إذا كان يتم تنفيذ أي عملية ليست هي العملية المعتادة.

4. فشل تدقيق الامتثال

أحد الأشياء الرئيسية التي تضمن أمان Kubernetes والحاويات هو الامتثال. إذا لم يتم التأكيد على الأمان على النحو الواجب في دورة حياة تطوير البرامج ، فقد يؤدي ذلك إلى فشل تدقيق الامتثال.

هناك العديد من معايير الامتثال التي يمكن استخدامها لأمن Kubernetes والحاويات.

PCI-DSS و HIPAA و SOC 2 هي معايير امتثال خاصة بالصناعة.

أحد الأخطاء الرئيسية التي ارتكبت في هذا الصدد هو عدم جعل عمليات تدقيق الامتثال جزءًا من SDLC منذ البداية أو اعتبارها فقط في وقت التشغيل. للتأكد من توافق كل شيء في البرنامج:

  • اجعل الامتثال جزءًا من SDLC منذ البداية.
  • استخدم معايير الصناعة لجعل مكونات البرنامج متوافقة.