kubernetes和容器安全的7个关键特性

Uptycs结合了针对Kubernetes和容器运行时的威胁检测，自动注册表扫描和Kubernetes硬化检查。

许多组织正在开始他们的Kubernetes和容器之旅，而其他组织在扩展部署规模时遇到了复杂性问题。容器化应用程序带来了许多好处，但也引入了新类型的安全挑战。

Uptycs通过将威胁、漏洞、配置错误、敏感数据暴露和合规要求的响应优先级化，从单个平台、UI和数据模型中降低了云和本地容器工作负载的风险。Uptycs为与Kubernetes控制平面攻击相关的容器运行时提供威胁检测。该产品还支持对注册表中的容器映像进行漏洞、恶意软件、凭据、密钥和其他敏感信息的扫描。这些功能可用于自管理的Kubernetes部署以及Amazon Elastic Kubernetes Service、Azure Kubernetes Service和Google Kubernetes Engine等托管服务。

这些Uptycs解决方案支持团队之间的协调增加，消除Kubernetes和容器部署的数据孤岛，加快威胁检测和响应时间，并快速识别配置错误和漏洞等风险。

Linux容器部署中的eBPF

Uptycs容器运行时可观测性的基础是扩展的Berkeley数据包过滤器（eBPF）技术。Uptycs传感器使用eBPF在Linux内核中捕获进程、文件和套接事件。eBPF为监视极高容量事件数据提供了实时安全可观测性、速度和便利性。eBPF是与Linux内核交互的安全方式，是插入auditd框架的首选替代方案。它还是一个即时编译器（JIT）。在字节码编译后，每个方法不再进行新的字节码解释，而是调用eBPF。

使用eBPF，Uptycs将探针插入Linux内核以监视感兴趣的事件。这发生在传感器启动时，并将信息传递回用户空间进程，大大减少了进行深度安全监视所需的资源利用率。eBPF很容易为此过程进行配置，并且不会在部署中创建任何延迟。eBPF为跟踪进程提供了一个单一、强大且易于访问的统一跟踪框架。使用eBPF有助于增加环境的功能丰富性，而不需要添加额外的层。同样，由于eBPF代码直接在内核中运行，因此可以在eBPF事件之间存储数据，而不像其他跟踪器那样将其转储。

容器运行时威胁检测

扩展容器部署意味着团队需要保护更多的短暂资产。使用通过eBPF收集的详细遥测数据，Uptycs能够实时检测恶意行为，并将检测结果映射到Mitre攻击框架。Uptycs在运行节点和容器上检测威胁，捕获粒度化的容器和节点遥测数据，包括进程事件、文件事件、DNS查找、套接字事件等。

数据实时规范化为SQL表格，使得形成复杂的检测框架，串联数百个信号变得无缝。超过200个Yara规则扫描二进制文件以查找恶意软件签名，而1300多个行为规则监视来自实时事件遥测的信号。

锁定Kubernetes控制平面

Kubernetes控制平面是攻击者攻击的高价值目标。从控制平面，攻击者可以创建特权容器、捕获配置标准，并深入到您的云基础架构。Uptycs捕获超过50个遥测表，涵盖所有Kubernetes对象，包括pod、部署、configmap、ingress、RBAC等。这些遥测数据通过单一来源提供了对合规性、威胁和漏洞的多集群可见性。从宏观视图到对命名空间、pod和工作负载的粒度视图，Uptycs遥测旨在回答任何基础架构问题，从合规性可见性到运行时威胁。

例如，从被攻击的Kubernetes控制平面，攻击者将寻找特权容器或自己创建特权容器。Uptycs监视在您的Kubernetes集群中创建特权pod的命令，阻止攻击者在创建这些攻击过程中进行攻击，并鼓励用户构建具有恰当权限的不可变容器，而不是过度特权的部署。

统一控制平面和数据平面数据

攻击者不会孤立地思考，因此对于跟踪攻击者行动，来自Kubernetes基础架构不同部分的数据进行关联是至关重要的。威胁行为者不断地在基础架构中寻找，试图进行容器逃逸攻击。团队很难将运行容器和Kubernetes控制平面中的运行威胁相关联，因为捕获、存储和处理这两个数据源在一起的难度很大。Uptycs从控制平面和数据平面捕获数据，将这些来源实时汇集在一起，具备即时检测能力。

开发人员友好的注册表扫描

注册表扫描是DevOps安全的重要组成部分。部署速度越来越快，因此在运行时之前，容器镜像必须是“黄金”的。负担正在向左移动，安全团队需要可靠且无缝的方式来支持DevOps流程。仅仅检测漏洞已经不够了，您需要有方法来对漏洞进行优先级排序。

在DevOps、运维和安全团队之间协调纠正措施是一项艰巨的任务。为了帮助指导这些团队，Uptycs通过智能指标提供关键上下文，不仅指示存在哪些漏洞，还指导如何优先纠正措施。仅仅提供一个严重性评分是不够的。团队需要知道网络端口是否对互联网开放，或者所涉及的软件是否实际运行。

Uptycs可以扫描您的容器注册表，检测60000个Linux CVE和700万个指标。自动化扫描将新的CVE无缝地纳入监控和更新注册表的安全姿态。支持的注册表包括JFrog Artifactory、Amazon Elastic Container Registry、Google Container Registry、Azure Container Registry和Docker Hub。

揭示嵌入式秘密

公共和嵌入式秘密正在迅速成为攻击者的常见入口，这一趋势在2022年底被强调，当时攻击者通过窃取包含在PowerShell脚本中的硬编码凭据来攻击Uber。使用Uptycs，您可以使用Yara规则和100多个基于正则表达式的警报扫描镜像中的嵌入式秘密，并将其纳入Jenkins、GitLab和GitHub Actions的CI/CD流程中。当发现秘密时，您甚至可以通过阻止镜像构建进入生产环境来进一步支持DevOps团队。

NSA针对Kubernetes部署的加固检查

您的Kubernetes控制平面是容器部署的中央命令和控制API服务器。因此，它需要最大的安全性，运行时镜像也需要进一步的保护和加固。这就是为什么NSA和CISA通过发布pod安全和网络分割的配置，发布了关于加固K8s和容器运行时部署的广泛指导。

这些发布的标准缓解了来自三个核心攻击者目标的威胁：DDoS攻击以使运行中的容器崩溃，劫持容器将其变成加密货币挖掘器，以及数据外泄。Uptycs已将这些NSA指南规则转化为合规性规则。例如，应用“拒绝具有HostPID访问权限的容器”规则集就像启用规则集一样简单。然后，在容器从您的Kubernetes控制平面启动后，您的运行时将在运行时持续验证与NSA加固检查列表相匹配，以确保攻击者没有修改容器以升级权限，或者容器没有从其黄金镜像漂移。

作者：Ganesh Pai

更多技术干货请关注公号“云原生数据库”

squids.cn，目前可体验全网zui低价RDS，免费的迁移工具DBMotion、SQL开发工具等。