日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

容器云平臺(tái)的基礎(chǔ)安全和管理安全設(shè)計(jì)( 三 )

云知道


容器云平臺(tái)是一個(gè)多模塊組成的復(fù)雜系統(tǒng),各個(gè)組合模塊的安全需要獨(dú)立設(shè)計(jì)以及實(shí)現(xiàn),結(jié)合上面容器平臺(tái)的架構(gòu),給出容器云平臺(tái)安全設(shè)計(jì)架構(gòu)圖,如下:

容器云平臺(tái)的基礎(chǔ)安全和管理安全設(shè)計(jì)


容器云平臺(tái)安全架構(gòu)
2.1 基礎(chǔ)安全設(shè)計(jì)
2.1.1 容器運(yùn)行時(shí)安全
容器運(yùn)行時(shí)通常會(huì)給管理員提供多種配置選項(xiàng) 。容器運(yùn)行時(shí)配置不當(dāng)會(huì)降低系統(tǒng)的相對(duì)安全性 。例如,在Linux容器主機(jī)上,經(jīng)允許的系統(tǒng)調(diào)用集合通常默認(rèn)僅限于容器安全運(yùn)行所必需的調(diào)用 。如果該列表被擴(kuò)大,則被入侵的容器會(huì)讓其它容器和主機(jī)操作系統(tǒng)面臨更大風(fēng)險(xiǎn) 。同樣,如果容器在特權(quán)模式下運(yùn)行,則可以訪問(wèn)主機(jī)上的所有設(shè)備,從而讓其本質(zhì)上成為主機(jī)操作系統(tǒng)的一部分,并影響在主機(jī)操作系統(tǒng)上運(yùn)行的所有其它容器 。
運(yùn)行時(shí)配置不安全的一個(gè)示例是允許容器在主機(jī)上掛載敏感目錄 。容器通常很少會(huì)對(duì)主機(jī)操作系統(tǒng)的文件系統(tǒng)進(jìn)行更改,而且?guī)缀醪粦?yīng)該更改控制主機(jī)操作系統(tǒng)基本功能的位置(例如,Linux容器的/boot或/etc、Windows容器的C:Windows) 。如果允許遭到入侵的容器更改這些路徑,那么,也可以被用來(lái)提權(quán)并攻擊主機(jī)本身以及主機(jī)上運(yùn)行的其它容器 。
1.安全基線
  • 建設(shè)安全基線(參照附件5和6)持續(xù)改進(jìn)
  • 建設(shè)安全基線檢測(cè)自動(dòng)化工具
  • 建設(shè)容器資產(chǎn)清單工具,實(shí)時(shí)洞察容器運(yùn)行狀況
2.容器運(yùn)行風(fēng)格選擇
容器運(yùn)行風(fēng)格方面,其實(shí)有多種選擇,采用何種容器運(yùn)行風(fēng)格也是安全考慮的問(wèn)題之一:
常見(jiàn)運(yùn)行風(fēng)格:
瘦容器(Thin Container):單進(jìn)程應(yīng)用的封裝,在鏡像中打包應(yīng)用 。這非常適于微服務(wù)架構(gòu)應(yīng)用的服務(wù)交付 。
胖容器(Fat Container):多進(jìn)程應(yīng)用的封裝,在鏡像中打包應(yīng)用 。容器引擎對(duì)進(jìn)程管理的特殊性,我們會(huì)利用init.d/systemd或者supervisor等來(lái)啟動(dòng)管理進(jìn)程 。但是容器應(yīng)該盡可能是單一目的,容器中的進(jìn)程應(yīng)該是緊耦合的,并有一致的生命周期 。比如可以將“nginx”和“php-fpm”打包在一個(gè)容器鏡像中 。
VM容器(VM Container):是利用容器模擬輕量級(jí)虛擬機(jī):鏡像本身不包含應(yīng)用,需要利用在容器啟動(dòng)后動(dòng)態(tài)安裝和配置應(yīng)用 。這是不建議的方案,會(huì)造成容器中應(yīng)用配置管理和更新的復(fù)雜性 。如業(yè)務(wù)應(yīng)用暫時(shí)無(wú)法改造,需要制定過(guò)渡方案 。一般而言,不建議選擇VM容器風(fēng)格 。
2.1.2 Kubernetes運(yùn)行時(shí)安全
目前主流的容器云管理平臺(tái)一般基于kubernetes構(gòu)建,kubernetes平臺(tái)采用分布式架構(gòu)方式構(gòu)建,根據(jù)平臺(tái)功能由多個(gè)組件組成,如下圖 。典型的組件包括api server,etcd,sheduler,controller manager,kubelet,kube-proxy,cAdvisor,Plugin networks(比如flannel)等 。
容器云平臺(tái)的基礎(chǔ)安全和管理安全設(shè)計(jì)


以上組件是容器云平臺(tái)的控制(管理)平面,是容器云平臺(tái)的大腦,全面洞察集群上的每一個(gè)容器和pod,并且調(diào)度新的pod,讀取和存儲(chǔ)集群中的所有私密信息,因此在通訊和數(shù)據(jù)存儲(chǔ)和傳輸方面均需要嚴(yán)格安全包括,主要措施包括:
組件安全基線
Kubernetes安全運(yùn)行需要滿足必要的配置基線,關(guān)于基線建設(shè)包括:
  • 建設(shè)安全基線(參照NIST規(guī)范,CIS benchmark)持續(xù)改進(jìn)
  • 建設(shè)安全基線檢測(cè)自動(dòng)化工具
組件之間通信加密
為了實(shí)現(xiàn)組件之間的安全,設(shè)計(jì)要求組件之間應(yīng)該啟用TLS,支持TLS以防止流量嗅探、驗(yàn)證服務(wù)器身份以及(對(duì)于相互TLS而言)驗(yàn)證客戶端身份 。
需要開啟的TLS通訊包括:

推薦閱讀