Kubernetes-bezogene Sicherheitsprojekte im Jahr 2023
[ad_1]
Es geht nicht so sehr drum, ob Unternehmen heute Kubernetes verwenden, sondern drum, wie sie seine Nutzung erweitern. Die Nutzung mehrerer Cluster nimmt wie zu und bewegt sich hoch Organisationsgrenzen hinweg. Kubernetes selbst wird abgestützt den daraus resultierenden Sicherheitsproblemen begegnen. Die neueste Version, Kubernetes 1.26, fügt Funktionen hinzu, die neben anderen Sicherheitsupdates die Vertrauenskette stärken sollen. Tatsächlich gibt es eine Warteschlange von Projekten, die Unternehmen beobachten – und notfalls beziffern – sollten, um sicherzustellen, dass sie ihre Nutzung von Kubernetes optimieren und taktgesteuert mehr Sicherheit, Observabilität, Governance und Compliance greifen.
SPIFFE und SPIRE
Identität zu Gunsten von was auch immer ist ein wichtiger Element welcher Sicherung Ihrer Kubernetes-Umgebung, ungeachtet die End-to-End-Identität ist immer noch ein ungelöstes Problem – insbesondere in Multicluster-Kubernetes-Umgebungen. Fiktional, Sie nach sich ziehen zusammenführen Tätigkeit in Kubernetes und zu tun sein sich im Rahmen einem Tätigkeit von außen kommend des Clusters authentifizieren, welcher in welcher Cloud oder lokal umgesetzt wird. Wie stellen Sie sicher, dass Sie eine sichere Identitätskette vom Start des Dienstes solange bis zu all den Dingen nach sich ziehen, mit denen er kommuniziert und sich verbindet – intrinsisch und von außen kommend des Clusters?
Die SPIFFE-Projekt ist eine Warteschlange von Open-Source-Standards zur sicheren Identifizierung von Softwaresystemen in Workloads hoch heterogene Umgebungen und Unternehmensgrenzen hinweg. Secure Production Identity Framework for Everyone (SPIFFE) definiert kurzlebige kryptografische Identitätsdokumente bzw Shadow Virtual Intrusion Detection System (SVIDS), die Workloads verwenden können, um sich im Rahmen anderen Workloads zu authentifizieren. Jener Identitätspartner von SPIFFE ist TURM, die SPIFFE-Laufzeitumgebung. SPIRE implementiert die SPIFFE-Spezifikation und erzwingt eine Multifaktor-Beurkundung zur Schau von Identitäten. Es gibt zwar noch viel zu tun, ungeachtet die Projekte SPIFFE und SPIRE – beiderlei von welcher Cloud Native Computing Foundation (CNCF) ins Leben gerufen – tragen dazu im Rahmen, die Grundlagen nicht nur zu Gunsten von End-to-End-Identität, sondern nebensächlich zu Gunsten von Zero Trust zu schaffen.
Sigstore
Dies Mami Spruch, dass eine Zettel nur so stark ist wie ihr schwächstes Pimmelmann, könnte nicht wahrer sein wie wenn es um die geht Software-Wertschöpfungskette. Wie die Menge von Supply-Chain-Hacks gezeigt hat, die wir in den letzten Jahren gesehen nach sich ziehen – Angriffe, die wahrscheinlich zunehmen werden, wenn die Einsätze steigen – wird es immer wichtiger sicherzustellen, dass nichts in welcher Wertschöpfungskette manipuliert wurde. Eine Möglichkeit, dies zu tun, besteht darin, was auch immer zu signieren – insbesondere, wenn Sie was auch immer (oder sogar die meisten Zeug) wie Source klarmachen.
Sigstore – unter welcher Schirmherrschaft welcher Linux Foundation – soll dies kryptografische Signieren in welcher Wertschöpfungskette vereinfachen. Sigstore entlastet Entwickler von welcher Kryptographielast und ermöglicht ihnen, eine E-Mail-Dienst-Postanschrift hoch dies OpenID Connect (OIDC)-Protokoll wie schon vorhandene Kennung zum Signieren ihres Codes zu verwenden. Wir sehen Organisationen, die Sigstore gen traditionellere Weise implementieren, ungeachtet es wird interessant sein zu sehen, ob sie OIDC-basierte Signaturen (hoch den Fulcio-Teil des Sigstore-Projekts) und dies Rekor-Signaturprotokoll wie flexiblere Methode zur Verwaltung von Signaturen und verwenden Beurkundung von Unterschriften oder Verifikation von Unterschriften. Es wird nebensächlich interessant sein zu sehen, ob Sigstore letztendlich nicht nur in neuen Produkten, sondern nebensächlich im Unternehmen selbst implementiert wird.
Kyverno und OPA Gatekeeper
Kyverno, dies Kubernetes-native Richtlinienverwaltung bereitstellt, ist ein Projekt, dies man im Sehorgan behalten sollte, da Organisationen den Zulassungsrichtlinien mehr Geschenk schenken, insbesondere da sich die Kubernetes-Gemeinschaft in Richtung Pod-Sicherheitszulassung bewegt. Es gibt nur drei Profile, die mit welcher Kubernetes-nativen Pod-Sicherheitszulassung verknüpft sind – ein Muster, dies von Natur aus problemlos ist. Wenn Sie mehr Kompliziertheit wünschen, zu tun sein Sie mit irgendwas wie umziehen Portier und Open Policy Ermittler (OPA). Manche Organisationen finden, dass Kyverno mit Kubernetes einfacher zu verwenden ist. Es ist YAML-basiert, sodass es nicht erforderlich ist, eine neue Sprache zu lernen. Andere Organisationen nach sich ziehen jedoch in dies Erlernen von Rego investiert, welcher Sprache, die mit Open Policy Ermittler verwendet wird, da OPA eine universelle Richtlinien-Engine ist, die zur Automatisierung von Richtlinien im gesamten Stack verwendet werden kann. Tatsächlich gibt es derzeit eine Vielzahl von Open-Source-Richtlinien-Engines. Die eigentliche Frage ist, ob die Landschaft weiterhin mit Engines bedeckt sein wird, die unterschiedliche Grade welcher Integration mit Kubernetes aufzeigen, oder ob eine solche schließlich zum De-facto-Standard werden wird.
eBPF-basierte Projekte
Kubernetes und die Technologien, mit denen es arbeitet, verlassen sich stark gen Kernfunktionen von Linux. Einer davon ist Erweitert Berkeley-Paketfilter(eBPF), dies zunehmend in Netzwerk-, Sicherheits- und Auditing- sowie Tracing- und Monitoring-Tools verwendet wird. Welches die Laufzeitsicherheit betrifft, ist es wichtig, dass eBPF Observabilität gen einer tiefen Flachland bietet. Sie können nicht sichern, welches Sie nicht sehen können, und eBPF bietet dies Maßstab an Observabilität, dies Sie zu Gunsten von Kubernetes und Containerplattformen benötigen, gen konsumierbare Weise. eBPF wird von vielen Projekten genutzt, darunter Falkoein Kubernetes-Runtime-Sicherheitstool und Wimper, dies die Netzwerkkonnektivität zwischen Container-Workloads bereitstellt, sichert und überwacht. Jener größte Indikator zu diesem Zweck, welche Projekte an die Spitze kommen werden, ist, wie gut sie mit Kubernetes spielen. Cilium ist wie interessant, weil es in Go statt in Kohlenstoff geschrieben ist, welches die Integration in Kubernetes erleichtert.
Kubernetes-Netzwerkprojekte
Wir stellen wacker, dass immer mehr Unternehmen mehrere Cluster bewilligen, welches zu einem Bedürfnis an Lösungen führt, die hoch Cluster hinweg kommunizieren oder interagieren. Skupper ist interessant, weil es Organisationen ermöglicht, eine Menge virtuelles Anwendungsnetzwerk aus Namespaces in einem oder mehreren Kube-Clustern zu erstellen. Es ist ein völlig neuer Methode zur Verwaltung welcher Kommunikation zwischen Clustern, welcher VPNs oder spezielle Firewall-Reglementieren verzichtbar macht. Die Gateway-API, dies aus dem Kube SIG Network stammt, arbeitet daran, dies Kubernetes-Tafelgeschirr-Networking weiterzuentwickeln und zu sichern, um es erweiterbarer zu zeugen, mit einer Warteschlange von APIs, die es hoch L3 hinaus zu L4 und L7 mitbringen. Gateway API ist ein Open-Source-Projekt, dies von verwaltet wird SIG-Netzwerk Seelenverwandtschaft.
Fazit
Wenn Organisationen ihre Nutzung von Kubernetes erweitern, zu tun sein sie ständig darauf schätzen, Leistungssteigerungen mit Sicherheit, Governance und Compliance in Einklang zu mitbringen.