导语

到 2025 年，保护 Kubernetes (K8s) 将被认为是云安全最重要的方面。 在最成功的组织中，CTO 和 CISO 已经意识到 Kubernetes 安全的重要性。 但是，虽然 Kubernetes 已经占 CTO 云支出的很大一部分，但 CISO 仍然有所落后。 大多数 CISO 仍然专注于零信任模型——但是，他们很快就会意识到他们在 Kubernetes 中运行 98% 的 PCI 监管工作负载，因此需要转变他们的想法。

为什么 k8s 安全如此重要

我们进入了 Kubernetes 的第八年。 IBM 报告说，他们最大的交易和增长最快的收入来自他们的托管 K8s 平台 OpenShift。 vSphere 和 ESXi 等一些“老派”虚拟化技术如今仍在广泛使用。 但它们达到了成熟度和采用率的水平，这让客户想知道，“我们还要使用什么？”

Kubernetes 现在也达到了这一点。 不专注于保护 Kubernetes 的传统 CISO 将被逐步淘汰，取而代之的是技术性更强、深入参与平台工程并参与 AppSec 的 CTO 式 CISO。 所谓的 DevOps 几乎 100% 由 Kubernetes 提供支持。 现代基础设施意味着 K8s 不再是一个行项目——它是至关重要的。 工作变动将在未来两年内到来。 很快，您将开始看到新来的 CISO，他们更多地采用类似于 CTO 的角度。 这位 CISO 技术性更强，更深入地参与平台工程和 AppSec——这意味着保护 DevOps，特别是保护 Kubernetes。

但为什么 CTO 们都全力投入 Kubernetes 呢？ 除了安全性之外，它通常归结为开发人员的效率。 他们的业务需要更快地运送东西，并且他们以前做事的方式很糟糕，遗留系统堆叠在遗留系统上。 一切都只是花费了更长的时间——可靠性也受到了影响。 但 Kubernetes 是最终的重置。 CTO 知道他们可以使用他们拥有的每个应用程序并将其作为容器运行，因此可以让更小的团队处理更小的块。 因此，您没有繁琐的委员会投票流程，而是让一个小团队花两周时间做一件事情，然后自动发布。 CTO 知道客户希望功能在他们完成的那一刻就出来，而 K8s 的速度和效率意味着他们可以比竞争对手更快地移动。 CTO 明白，通过减少支出和投入更多的计算基础设施（并在平台方面用更少的资源做更多的事情），他们可以将平台团队整合到一个 API 中。

如何开始

k8s 复杂的体系能力一直都让人头疼，K8s 的安全也同样具有相当复杂性，其包含了非常多的方面，那么面对越来越重要的 K8s 安全，我们又改从何处开始入手呢？我们建议可以从以下的方面：

提升镜像安全

容器是由软件组成的，新的常见漏洞和暴露（CVE）经常被披露。 如果您没有定期扫描容器镜像中的漏洞，它们很可能存在于您的容器镜像和已部署的容器中。到 2021 年，40% 的组织受到镜像漏洞影响的工作负载不到 10%，而到 2022 年，这一比例仅为 12%。恶意行为者的一种常见攻击媒介是已知漏洞，因此识别和修复这些漏洞是 对 Kubernetes 工作负载安全很重要。

持续检查 K8s 配置安全

Kubernetes 有着非常多的配置，但并不是所有的配置默认都是设置安全的，而往往默认情况下它是不安全的。 例如，默认情况下，某些 Linux 功能会为 Kubernetes 工作负载启用，即使这些工作负载不需要这些功能。 基准数据表明，组织并没有像以前那样限制这些能力。 2021 年，42% 的组织针对大多数工作负载关闭了这些功能。所以为了避免出现“99%的损失是由于 1%的人为错误产生”的情况，我们建议持续的检查 K8s 的配置安全性，保证 K8s 在一个安全的环境下运行。

最小化权限

最小化权限是一个非常熟悉的概念，但是往往大家做的并不好。例如允许以根用户身份运行，根据报告，许多工作负载都允许使用此功能。 到 2022 年，允许以 root 身份运行的工作负载数量有所增加。 分析显示，44% 的组织正在运行 71% 或更多的工作负载允许 root 访问，而 2021 年这一比例为 22%。这是具有非常大的潜在风险的，所以发现权限的问题，并且持续的实践最小化权限，可以显著的提升整个系统的安全性。

启用 K8s 的 RBAC

RBAC 可以帮助您定义谁有权访问 Kubernetes API 以及他们拥有哪些权限。RBAC 通常在 Kubernetes 1.6 及更高版本（后来在一些托管的 Kubernetes 提供程序上）默认启用。因为 Kubernetes 结合了授权控制器，所以当您启用 RBAC 时，您还必须禁用旧的基于属性的访问控制 (ABAC)。

使用 RBAC 时，更喜欢特定于命名空间的权限而不是集群范围的权限。即使在调试时，也不要授予集群管理员权限。仅在您的特定情况需要时才允许访问更为安全。

提升可视化

K8s 复杂性的一个突出体现就是太多的操作和内容是命令执行和配置管理，但是可视化程度不高，在安全的范畴内，一个重要原则是可见才能安全，所以在开始提升安全能力的时候，不妨同时考虑全面提升可视化能力。让安全问题以更好的形式展现，让管理人员可以快速的定位和发现安全隐患。

总结

现在是 CISO 像 CTO 一样思考的时候了。 由于他们负责终端安全、数据安全和合规性，因此 K8s 可能不是 CISO 的首要计划。 但到 2025 年，CISO 和 CTO 的目标将围绕业务优先级进行调整，以包括更安全的 DevOps——这需要更安全的 K8s。 更安全的 Kubernetes 需要工具通过实时评估和检测 Kubernetes 环境的问题来更轻松、更有效地保护容器化基础设施。

关于 HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和云原生安全检测。

Github 地址：https://github.com/HummerRisk/HummerRisk

Gitee 地址：https://gitee.com/hummercloud/HummerRisk