按照基準(zhǔn)進(jìn)行持續(xù)測試，建立自動化測試體系

時間：2022-04-12 21:12:02 | 來源：行業(yè)動態(tài)

時間：2022-04-12 21:12:02 來源：行業(yè)動態(tài)

即使配置正確，大家也必須記住一點(diǎn)：根據(jù)設(shè)計(jì)要求，容器體化工作負(fù)載以及運(yùn)行所處的基礎(chǔ)設(shè)施并非靜態(tài)不變。這些環(huán)境高度動態(tài)，因此必須將安全保障視為一種持續(xù)性實(shí)踐。

Dang提到，合規(guī)性檢查也可以自動化，只有這樣才能準(zhǔn)確評估當(dāng)前環(huán)境對于各類基準(zhǔn)及行業(yè)標(biāo)準(zhǔn)的遵循情況。

從安全性與合規(guī)性的角度來看，Kubernetes環(huán)境中最著名的檢查（及重新檢查）標(biāo)準(zhǔn)之一當(dāng)數(shù)CIS Kubernetes基準(zhǔn)。這是一份免費(fèi)清單，包含約200項(xiàng)設(shè)置與安全配置最佳實(shí)踐。

這份清單系統(tǒng)且全面，但同時也令企業(yè)幾乎不可能手動按照內(nèi)容要求定期檢查動態(tài)環(huán)境。好消息是，目前市面上的現(xiàn)成工具能夠自動高效地完成這項(xiàng)工作。

Aqua開發(fā)的kube-bench是一款免費(fèi)開源工具，能夠根據(jù)CIS Kubernetes基準(zhǔn)自動檢查IT環(huán)境。事實(shí)上，目前CIS指南已經(jīng)成為一項(xiàng)重要的運(yùn)營前提，Red Hat OpenShift Container Platform 4就專門根據(jù)其中的條目為用戶選擇了合作商工具。在kube-bench的幫助下，企業(yè)能夠持續(xù)檢查自己的安全狀況，確保集群不致偏離合規(guī)性要求。

NeuVector也提供一組免費(fèi)開源腳本，可根據(jù)最佳實(shí)踐自動檢查Kubernetes的安裝情況。

同樣來自Aqua的還有一款開源kube-hunter工具，可根據(jù)已知漏洞對集群發(fā)動模擬攻擊。

Osnat指出，如果說CIS基準(zhǔn)測試關(guān)注的是單一設(shè)置及其對整體安全狀況產(chǎn)生的影響，那么kube-hunter就是通過數(shù)十種已知攻擊向量對集群發(fā)動滲透測試，借此實(shí)現(xiàn)安全性補(bǔ)充。它會模擬攻擊集群，驗(yàn)證集群是否抵御得住各種已知的攻擊手段。它還提供關(guān)于設(shè)置的變更建議，幫助大家快速對所發(fā)現(xiàn)的安全漏洞施以補(bǔ)救。

最后，開源陣營還有另外一位新成員同樣來自Aqua的Starboard，一款面向Kubernetes安裝的安全工具包。

Osnat總結(jié)道，Starboard努力將各種工具集成到K8s的體驗(yàn)當(dāng)中，包括漏洞掃描工具、工作負(fù)載審計(jì)器以及基準(zhǔn)測試等。它基于K8s CRD（定制化資源定義）實(shí)現(xiàn)，并可通過Kubernetes API進(jìn)行訪問。熟悉kubectl（K8s的原生CLI）的用戶能夠輕松從中獲取安全信息，并據(jù)此編程以進(jìn)一步提升自動化水平。