借自動化機制提高檢測與策略執(zhí)行能力

時間：2022-04-12 21:09:01 | 來源：行業(yè)動態(tài)

時間：2022-04-12 21:09:01 來源：行業(yè)動態(tài)

與很多朋友已經(jīng)熟知的聲明式、自動化基礎(chǔ)設(shè)施操作方法一樣，大家在安全領(lǐng)域也可以采取相同或者類似的操作。如上所述，這些在容器安全與Kubernetes安全當(dāng)中同樣不可或缺。

Dang表示，這些環(huán)境強調(diào)以聲明式API進(jìn)行操作，能夠在基礎(chǔ)設(shè)施的配置期間實現(xiàn)安全設(shè)置，并在應(yīng)用程序的構(gòu)建與部署流程中始終提供安全保護(hù)。

換言之，即代碼管理模式將由此與安全領(lǐng)域展開融合。

NeuVector公司CTO Gray Duan認(rèn)為，希望實現(xiàn)Kubernetes合規(guī)性與安全性自動化的企業(yè)，還應(yīng)盡可能將安全策略即代碼與行為學(xué)習(xí)（或者機器學(xué)習(xí)）結(jié)合起來。這項技術(shù)策略有助于支持安全性左移的思維模式，幫助我們在應(yīng)用程序開發(fā)早期引入工作負(fù)載安全策略，立足整個生產(chǎn)過程實現(xiàn)環(huán)境保護(hù)。

Duan還分享了安全性與合規(guī)性領(lǐng)域的幾個應(yīng)該案例，一馬當(dāng)先的就是在運行時中自動執(zhí)行安全漏洞掃描。Duan提到，在實施Kubernetes合規(guī)性與安全性自動化時，我們需要在運行時中執(zhí)行漏洞掃描不只是掃描容器，還需要掃描主機乃至Kubernetes本身。

第二點則是自動網(wǎng)絡(luò)分段。事實上，網(wǎng)絡(luò)分段在某些行業(yè)中屬于必要的合規(guī)性要求，需要強制加以執(zhí)行。

越來越的企業(yè)需要組織合規(guī)報告并加以管理，而自動化網(wǎng)絡(luò)分段也開始在眾多行業(yè)的合規(guī)性標(biāo)準(zhǔn)中成為主流。例如，管理支付處理的PCI DSS安全標(biāo)準(zhǔn)就要求在持卡人數(shù)據(jù)環(huán)境內(nèi)外的流量之間設(shè)置網(wǎng)絡(luò)分段和防火墻。在Duan看來，我們根本無法以手動方式調(diào)整防火墻規(guī)則，借以應(yīng)對新的、不斷發(fā)展的容器化環(huán)境威脅態(tài)勢。正因為如此，很多法規(guī)理所當(dāng)然地要求在業(yè)務(wù)環(huán)境中執(zhí)行自動化運行時掃描與合規(guī)性檢查。

Kubernetes操作器則是安全自動化領(lǐng)域的一類新興工具。Red Hat安全策略師Kirsten Newcomer向我們解釋道，最酷的一點在于，IT人員可以使用Kubernetes操作器來管理Kubernetes本身，從而更輕松地交付并自動處理安全部署。例如，操作器能夠高效管理配置漂移、使用Kubernetes聲明機制來重置和更改不受支持的配置。