【Open Source視野】Kubernetes 安全漏洞防不勝防

近年來，Kubernetes（k8s）的興起改變了 DevOps 的文化。簡單介紹一下，k8s 是一個整合了開發和應用部署的容器平台。此外，它代表了基礎設施軟件的集大成。因此，它被認為是新一代的革命性虛擬架構。

眾所周知，軟件系統存在的地方就有安全漏洞，比如 CVE（漏洞），以及需要考慮如何增強網絡防火牆規則等問題。在容器平台領域，同樣的問題出現了：持續保護平台和應用的戰鬥。隨著技術越來越自動化，考慮集成組件的漏洞的複雜性也在增加。這不是一次性的過程，而是每天都需要進行維護和修正的任務。

有鑑於此，本文介紹了一款名為 Stackrox 的開源安全軟件，這是一款針對容器平台的自動化安全解決方案。它是一個積極的平台，能夠自我保護、預先警告和進行修正。作為一個端到端的容器安全平台，它需要考慮多方面的維護，包括容器平台基礎層的每一個叢集節點、主系統的許多數據包、網絡系統、插件和用戶程序。每個部分都需要持續監控和維護。讓我們深入了解 Stackrox 這個強大的開源軟件的能力。

漏洞管理

在整個軟件開發生命週期中，識別並修復容器映像和 Kubernetes 中的漏洞。

合規性

根據 CIS 標準、NIST、PCI 和 HIPAA 審計您的系統，提供互動式儀表板和一鍵式審計報告。

網絡區隔

可視化現有和允許的網絡流量，並使用 Kubernetes 原生控制來加強網絡政策和更嚴格的分段。

風險分析

使用 Kubernetes 宣告式數據的上下文，查看按風險等級排列的所有部署，以優先處理糾正措施。

配置管理

應用最佳實踐來加固您的 Kubernetes 環境和工作負載，以實現更安全穩定的應用程式。

檢測與回應

使用規則、白名單和基準識別可疑活動，並採取行動以阻止攻擊，通過 Kubernetes 實施。

持續整合/發佈 (CiCd)

在創建鏡像應用時，開發人員負責整個過程，包括構建、部署和運行。在構建鏡像時掃描問題，在部署時檢查和修正配置，在容器運行期間監控運作情況，防止未經授權的程序或腳本執行。

隨著容器架構在新一代中日益成為主流，系統持續面臨被攻擊的風險。如果沒有持續的監控和自動化，手動維護如何可能處理成千上萬運行中的容器程序。

作者：Red Hat 方案架構師葉德良（Ray）
欲觀看更多 Ray 撰寫的文章，可按此瀏覽。