云安全丨构建四大关键能力，深度保护 Kubernetes 集群

当今的业务系统越来越依托于微服务和云原生的架构，而广为应用的 Kubernetes 集群为之带来了前所未有的速度和灵活性。但大规模 Kubernetes 集群，也成为了勒索软件、加密挖矿和僵尸网络等威胁的主要攻击目标。

小贴士：Kubernetes 集群
Kubernetes 集群是一组运行容器化应用程序的节点。Kubernetes 集群为这些节点提供完整的生态系统，包含 DNS 服务、负载平衡、网络、自动扩缩，以及运行应用程序操作所需的任何其他功能。Kubernetes 集群可以使用内置的层次结构和应用程序分段来承载多个应用程序，且不会限制域名空间之间的通信。

默认情况下，采用扁平化设计，Pod 间无任何限制

分段策略 隔离威胁

《Red Hat 2022 年度 Kubernetes 安全状况报告》显示，过去一年中，93%受访者（包括300 余名 DevOps、工程设计和安全专业人员）的 Kubernete 环境中至少出现过一次安全事件。集群暗处，攻击者很有可能会利用此类事件安装勒索软件和其他恶意软件。

对 Kubernetes 集群进行分段的必要性，在于大量针对 Kubernetes 集群的攻击开始采用规避和混淆技术以逃避检测，包括打包攻击载荷、使用 Rootkit 等方式运行恶意软件。若想有效监测、阻截勒索软件攻击中的横向移动，就需要在保障业务连续性的情况下，以微分段策略限制威胁的扩散与流动。

四重能力 覆盖全局

保障 Kubernetes 环境的安全性，创建体系化、精细化的安全策略，才能全面深度地洞见威胁、及时阻截。Akamai Guardicore Segmentation 基于软件的微分段解决方案，有助于企业准确监测 Kubernetes 集群，深入了解基础架构所有层的实时状况，确认流量的预期路径。

用于Kubernetes 集群分段的关键能力

◆ 映射监测

Akamai Guardicore Segmentation 配置有映射、多层标签功能。依赖项关系的映射图谱，可用于监测数据中心内部和多个数据中心之间的通信状况；通过使用多层标签，映射更得以准确地反映应用程序在集群中的部署方式，全方位提升客户对 Kubernetes 层次结构的可见性。

◆ 强制实施

Akamai Guardicore Segmentation 具有非侵入性与灵活性，可使用原生 Kubernetes CNI（Container Network Interface, 容器网络接口）强制实施网络分段；同时配置保护 Kubernetes 业务关键型应用程序而设计的专用模板，帮助用户轻松选择域名空间、应用程序等准备隔离的对象。

◆ 高级监控

利用高级日志记录和监控系统，可针对 Kubernetes 网络调整专用网络日志，显示每个事件的目标服务、节点 IP、源端口和目标端口以及进程，有利于用户更便捷地调查网络中的异常活动并将数据导出到第三方应用程序。

◆ 集群操作

在具体的运营活动中，及时进行集群操作，也是践行微分段策略的关键能力。专用集群操作屏幕提供了有关已部署集群的所有必要数据，包括监控集群的代理数、标记代理功能的警告和告警，以及 Kubernetes 编排的状态等。

当下，虽然零信任安全理念已经深入人心，但真正实践、落地“假设入侵”的工具还屈指可数。Akamai Guardicore Segmentation 则正是填补这一技术空白的微分段解决方案，以高度适应 Kubernetes 集群的拓展能力、非侵入性特点，精细化监测 Kubernete 集群等基础架构的安全状况，并及时将攻击行为扼杀于风险扩散早期。