Kubernetes（通常称为K8s）是来自Google云平台的开源容器集群管理系统，用于自动部署、扩展和管理容器化（containerized）应用程序。“目前市场上很多商业化容器管理平台或者公有云服务，它们所用到的一些容器管理架构服务实际上都是基于K8s发展而来的，K8s在容器自动化管理工具方面占有主导地位，客观上来讲，它已然成为一种行业标准。”日前，在Kubernetes安全媒体沟通会上，Palo Alto Networks（派拓网络）中国区大客户技术总监张晨女士（Ann Zhang）如是说。

Palo Alto Networks（派拓网络）中国区大客户技术总监 张晨

（图源：派拓网络）

Kubernetes日渐流行，对其攻击愈演愈烈

在企业数字化转型的进程中，上云已经成为必然选项，特别是随着混合云时代的到来，很多企业已经开启了关键业务系统上云的进程，以满足高速发展的业务对IT架构高性能、高可用、易扩展和高安全等需求。从云原生环境全生命周期的技术堆栈以及对主流商业云的支持和覆盖上，容器是一个非常快速和便捷的开发环境，所以现在很多开发团队都倾向于转向用容器化平台来进行应用的快速开发和部署，以适应前端业务部门的需要。

张晨介绍，Kubernetes本身是一种为容器管理应运而生的开源工具，设计之初并没有考虑太多安全问题，所以很多安全控制机制相对来讲比较缺失。去年派拓网络Unit42安全威胁研究团队发现Google Kubernetes Engine (GKE)存在多个漏洞及针对其的攻击技术，这些漏洞不仅会影响Google Cloud 用于管理 Kubernetes 集群的最新产品GKE Autopilot，同时还会影响GKE标准。Unit42发现 GKE Autopilot 漏洞能够让攻击者升级权限，并接管整个集群。攻击者可以隐秘地窃取信息，部署恶意软件，实施加密挖矿攻击，以及破坏工作负载。虽然后来谷歌发布了一些补丁去修复漏洞，但很多基于它开发出来的商业化容器管理平台或工具仍然存在安全隐患。

Kubernetes作为容器编排平台，目前已广泛用于管理、部署和扩展容器化应用。在容器环境下自动化管理工具的选择上，Kubernetes是目前最主流的工具之一，因此它的使用基数非常大。云原生计算基金会（CNCF）最新调查显示，83%的组织机构在其生产环境中运行 Kubernetes。在Kubernetes日渐流行的同时，其安全问题也会随着本身庞大的生态系统的激增愈演愈烈，逐渐成为了网络攻击的热点目标。

随着 Kubernetes技术的不断进步，目前简单的错误配置和漏洞已经越来越少见，而攻击者也在不断升级攻击行为。研究表明，即使是 Kubernetes 中最细微的问题，也可能成为攻击的切入点。

防范Kubernetes攻击，企业要怎么做？

针对Kubernetes的恶意攻击越来越多，那么企业要采取哪些有效的措施，才能防范这些威胁呢？

GKE的事件已经表明，即使像谷歌这样的安全厂商，当他在对Kubernetes进行二次包装的时候，也会引入更多的安全风险，并且会通过例如说特权提升导致整个集群被攻破。这说明针对Kubernetes的攻击越来越高级，正在从简单的技术攻击演变成高级的Kubernetes定制攻击。

Palo Alto Networks（派拓网络）架构师李国庆建议，“针对这种攻击，如果仅仅是保护集群的外围边缘，肯定是不够的。我们鼓励企业能够采用检测和预防后续攻击这样的安全解决方案，来制定相关的安全审计策略。” Kubernetes 管理员可以通过制定规则和采取审核措施，监控、检测和预防集群中的可疑活动和权限升级。另外，应用 NodeAffinity、Taints 和 PodAntiAffinity 规则可以将高可靠性的 pod 与不可靠的 pod 分开。

在安全平台的选择上，为了保护整个云环境，最好的解决方案是采用全面的云原生安全平台。

Palo Alto Networks（派拓网络）Prisma Cloud 方案架构师 李国庆

（图源：派拓网络）

张晨介绍，在企业IT架构的混合云变迁过程中，云的规模使用已经成为不可阻挡的趋势。在这个过程中，关于云安全有以下四点需要着重关注：

首先对于上云之后存在的安全合规问题或者安全漏洞，需要我们具备可见性；其次，当混合云已经成为很多企业选择或正在使用的新型主流IT架构时，我们必须要对容器内部本身的安全问题做到及早发现；另外，很多企业在选择公有云时，往往不只把业务放在一个公有云上，考虑到业务的连续性和避免单点故障，他们会采用多云架构。这时我们需要在企业的多云环境下进行深度的安全威胁发现；最后，容器的开发环境给开发团队提供了一种非常敏捷的工作方式，可以非常快速地开发、集成和不断地修正，然后投入生产。但这种快速敏捷的开发模式有可能对安全机制缺乏考虑，所以就需要开发和运维团队能够与安全团队共同协作，将必要的安全控制机制在开发阶段就融入到安全检测中，做到安全前置，也就是我们常说的安全左移。

对于一个领先的全面云原生安全解决方案来说，应该覆盖以上这四个方面，这也是现在整个混合云架构下企业面临的安全挑战。

Prisma Cloud：贯穿应用整个生命周期的全方位云原生安全

Prisma Cloud是派拓网络推出的云原生安全解决方案。近年来，派拓网络在公有云方案上进行了大力投入，不断并购新的领先技术，并融入到Prisma Cloud平台。

Prisma Cloud利用云服务提供商 API 提供对公有云环境的可视性和控制，同时利用单个统一的代理框架将安全性扩展到主机、容器和无服务器功能。其凭借对混合和多云环境的支持，实现了全面的云原生安全。

Prisma Cloud能快速全面地解决云端安全的一系列挑战，提供实时的深度云资源报告、保持云端的合规性、保护云原生资源及赋能敏捷开发。Prisma Cloud 用户可以启用 Kubernetes准入支持，解决 Kubernetes权限升级问题。该功能可以有效防止针对Kubernetes 的攻击。

在刚刚出炉的Forrester Cloud Workload Security评估中，Prisma Cloud凭借优秀的市场占有率和产品能力综合排名最优。而产品能力的全面性以及对云原生环境全生命周期和相关技术堆栈的覆盖等，成为客户选择Prisma Cloud的主要原因。

张晨表示，从2018年到现在，Prisma Cloud在全球范围内的客户已经实现了从0增加到近3000个，其中包括74%的财富100强企业，为超过25亿个云资源提供保护。

Prisma Cloud全面云原生安全解决方案

（图源：派拓网络）

随着企业数字化转型的加速，上云已经成为必然选择，在此过程中，不可避免地就会用到Kubernetes，可以预见，未来针对Kubernetes的攻击还会继续增多。就Kubernetes和与其类似的自动化工具而言，派拓网络建议，无论是它所在的公有云配置本身，还是控制的主机节点，或是软件安全的配置，亦或是访问许可、漏洞，以及第三方软件提供商，对其进行二次包装的各个方面，都要进行全局统一策略下的安全建设、检测和响应。选择全面的云原生安全平台，才能让防御者有能力保护集群免受威胁。