怎樣用KubeXray保護(hù)K8s環(huán)境及應(yīng)用-創(chuàng)新互聯(lián)

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)怎樣用KubeXray保護(hù)K8s環(huán)境及應(yīng)用，文章內(nèi)容豐富且以專(zhuān)業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

成都創(chuàng)新互聯(lián)公司不只是一家網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司；我們對(duì)營(yíng)銷(xiāo)、技術(shù)、服務(wù)都有自己獨(dú)特見(jiàn)解，公司采取“創(chuàng)意+綜合+營(yíng)銷(xiāo)”一體化的方式為您提供更專(zhuān)業(yè)的服務(wù)！我們經(jīng)歷的每一步也許不一定是最完美的，但每一步都有值得深思的意義。我們珍視每一份信任，關(guān)注我們的成都做網(wǎng)站、網(wǎng)站設(shè)計(jì)質(zhì)量和服務(wù)品質(zhì)，在得到用戶(hù)滿(mǎn)意的同時(shí)，也能得到同行業(yè)的專(zhuān)業(yè)認(rèn)可，能夠?yàn)樾袠I(yè)創(chuàng)新發(fā)展助力。未來(lái)將繼續(xù)專(zhuān)注于技術(shù)創(chuàng)新，服務(wù)升級(jí)，滿(mǎn)足企業(yè)一站式成都全網(wǎng)營(yíng)銷(xiāo)推廣需求，讓再小的成都品牌網(wǎng)站建設(shè)也能產(chǎn)生價(jià)值！

引言

大多數(shù)安全措施都是為了防止漏洞逃跑而設(shè)計(jì)的， 在此之前，我們也分享了一些第三方安全掃描的文章（請(qǐng)移步到歷史文章中查看），盡早識(shí)別應(yīng)用程序的風(fēng)險(xiǎn)意味著您可以防止或限制它部署到您的系統(tǒng)中（安全左移策略）。有了這些知識(shí)或工具，容器中任何可能造成損壞的漏洞都可以安全地留在由您的安全策略圍欄后面。

但是，當(dāng)這些漏洞已經(jīng)逃跑時(shí)，我們能做什么呢? 如何確保已經(jīng)在Kubernetes pods中運(yùn)行的容器和應(yīng)用程序符合您當(dāng)前的風(fēng)險(xiǎn)和策略?

背景（運(yùn)行時(shí)安全管控）

由于大多數(shù)應(yīng)用程序嚴(yán)重依賴(lài)于包管理器和開(kāi)源存儲(chǔ)庫(kù)，因此它們很容易受到來(lái)自這些源的惡意或不安全代碼的攻擊。想象我們交付的軟件 Application 是一張餅，我們自己開(kāi)發(fā)的代碼僅占其中很小一部分，見(jiàn)下圖：

最近，當(dāng)Javascript社區(qū)得知npm module中流行的事件流包被一個(gè)針對(duì)比特幣錢(qián)包平臺(tái)的惡意包更新時(shí)，他們非常憤怒。在被發(fā)現(xiàn)和報(bào)道之前的三個(gè)月里，這個(gè)包被下載了近800萬(wàn)次。

雖然來(lái)自社區(qū)包管理器的此類(lèi)事件并不常見(jiàn)，但并不少見(jiàn)。一年前，npm發(fā)現(xiàn)并刪除了39個(gè)惡意包。所以很多包在我們安全策略發(fā)現(xiàn)之前可能已經(jīng)進(jìn)入到了生產(chǎn)環(huán)境

解決方案

在介紹如何對(duì)運(yùn)行時(shí)進(jìn)行安全控制之前，先回顧一下常見(jiàn)漏洞掃描工具的原理：這里以JFrog  Xray 為例：

通用二進(jìn)制分析工具和策略引擎JFrog Xray，會(huì)實(shí)時(shí)掃描Artifactory制品庫(kù)中的容器鏡像，war包，以及Npm module 等二進(jìn)制制品，執(zhí)行深度遞歸掃描，逐層檢查應(yīng)用程序的所有組件，并與多個(gè)漏洞數(shù)據(jù)源（已知漏洞數(shù)據(jù)庫(kù)）進(jìn)行一一對(duì)比，從而判斷是否存在已知漏洞 或License許可證策略問(wèn)題，同時(shí)為被掃描文件（Docker 鏡像，Npm Module）添加相關(guān)元數(shù)據(jù)。

Xray 漏洞掃描平臺(tái)分析

DevOps管理員可以根據(jù)Xray掃描平臺(tái)所發(fā)現(xiàn)的風(fēng)險(xiǎn)級(jí)別，配置策略來(lái)限制或阻止Kubernetes部署這些Docker 鏡像。但是可以發(fā)現(xiàn)僅僅使用Xray，只能將漏洞限制在運(yùn)行時(shí)之前。

為了解決這個(gè)問(wèn)題，JFrog提供了KubeXray 組件，這是一個(gè)開(kāi)源軟件項(xiàng)目，它將通用二進(jìn)制安全分析工具Xray的安全性擴(kuò)展到Kubernetes pods運(yùn)行時(shí)。

使用Xray掃描容器映像生成的元數(shù)據(jù)，KubeXray可以對(duì)已經(jīng)部署的內(nèi)容（容器鏡像等）進(jìn)行安全策略管控

KubeXray監(jiān)控所有活動(dòng)Kubernetes Pod資源，以幫助您:

1. 捕捉當(dāng)前在所有Kubernetes吊艙中運(yùn)行的應(yīng)用程序中最新報(bào)告的風(fēng)險(xiǎn)或漏洞

2. 對(duì)正在運(yùn)行的應(yīng)用程序強(qiáng)制執(zhí)行當(dāng)前策略，即使您已經(jīng)更改了這些策略

3. 對(duì)未被Xray掃描且風(fēng)險(xiǎn)未知的正在運(yùn)行的應(yīng)用程序執(zhí)行策略

通過(guò)這種方式，KubeXray可以幫助您將逃逸的漏洞進(jìn)行安全的控制。

KubeXray 是什么？

在Kubernetes將容器鏡像部署到pods之前，Xray檢測(cè)風(fēng)險(xiǎn)并將策略應(yīng)用于容器鏡像，KubeXray檢測(cè)風(fēng)險(xiǎn)并將策略應(yīng)用于已經(jīng)運(yùn)行或即將運(yùn)行的Kubernetes pod。

KubeXray監(jiān)視來(lái)自Kubernetes服務(wù)器和Xray的安全事件，并為Kubernetes運(yùn)行的所有pods執(zhí)行當(dāng)前的安全策略。KubeXray監(jiān)聽(tīng)這些事件流:

1. 部署新服務(wù)（Pod）

2. 升級(jí)現(xiàn)有服務(wù)

3. 新的許可證策略，例如某個(gè)License許可證類(lèi)型不允許在運(yùn)行時(shí)使用

4. 一個(gè)新的安全問(wèn)題

當(dāng)檢測(cè)到問(wèn)題時(shí)，KubeXray會(huì)根據(jù)您設(shè)置的當(dāng)前策略進(jìn)行響應(yīng)。您可以選擇以下可能的操作之一:

? Scaledown為直到0。所需的服務(wù)狀態(tài)更新為0，使其在仍然可以查詢(xún)時(shí)處于非活動(dòng)狀態(tài)

? 刪除漏洞容器鏡像的相應(yīng)Kubernetes資源

? 忽略它，讓pod繼續(xù)運(yùn)行

KubeXray還了解不同Kubernetes資源(狀態(tài)集和部署)之間的差異，并允許對(duì)每種資源應(yīng)用不同的策略操作。

雖然KubeXray主要是將Xray的深度掃描安全性擴(kuò)展到運(yùn)行Kubernetes pods，但它也為未被Xray掃描的pods提供了一些策略控制，例如從存儲(chǔ)庫(kù)(而不是Artifactory)部署的容器映像。對(duì)于沒(méi)有經(jīng)過(guò)x射線(xiàn)掃描的pod，因此其風(fēng)險(xiǎn)是未知的，您可以指定要采取的單獨(dú)策略操作。

KubeXray 工作原理

KubeXray監(jiān)聽(tīng)Kubernetes集群中運(yùn)行的每個(gè)pod，并使用Xray元數(shù)據(jù)(何時(shí)可用以及是否可用)來(lái)確定安全策略控制。

1. 對(duì)于Kubernetes上的每個(gè)pod(運(yùn)行或計(jì)劃運(yùn)行)，KubeXray檢查Xray元數(shù)據(jù)中的漏洞或License許可證策略問(wèn)題。如果發(fā)現(xiàn)任何風(fēng)險(xiǎn)，KubeXray將采取相應(yīng)的控制操作。

2. 如果Kubernetes pod中的任何容器鏡像(正在運(yùn)行或計(jì)劃運(yùn)行)沒(méi)有被Xray識(shí)別——因?yàn)樗鼪](méi)有被掃描，或者因?yàn)樗鼪](méi)有從Artifactory 下載——那么KubeXray將以未知風(fēng)險(xiǎn)來(lái)應(yīng)用當(dāng)前的策略集。

每當(dāng)在Xray上添加或更新新策略，或報(bào)告新漏洞時(shí)，KubeXray都會(huì)檢測(cè)到此更改，并檢查現(xiàn)有pod是否存在問(wèn)題。如果發(fā)現(xiàn)任何風(fēng)險(xiǎn)，KubeXray將立即根據(jù)當(dāng)前安全策略進(jìn)行安全控制。

如下圖所式: 顯示對(duì)漏洞pod的每個(gè)策略操作過(guò)程(忽略/刪除/縮容)。

上面提到：KubeXray根據(jù)發(fā)現(xiàn)的風(fēng)險(xiǎn)和DevOps管理員配置的策略應(yīng)用策略操作。

策略操作是在一個(gè) values.yaml 文件中設(shè)置。您可以為以下條件配置策略操作(縮容、刪除或忽略):

? 未掃描——未被 Xray 掃描deployments ，您還可以指定命名空間的白名單;使用這些命名空間的deployments 將不應(yīng)用安全策略操作。

? 安全性——由于漏洞而存在安全問(wèn)題的deployments 。

? License許可證——許可證不符合策略的deployments 。

上述每種條件都為Deployments 和StatefulSets提供了單獨(dú)的策略操作設(shè)置。

KubeXray安裝使用

KubeXray工具是一個(gè)開(kāi)源軟件項(xiàng)目，可以在Github存儲(chǔ)庫(kù)中找到并安裝它（https://github.com/jfrog/kubexray）。

要使用KubeXray，您必須具備:

? 一個(gè)已獲授權(quán)及正在運(yùn)行Artifactory 服務(wù)

? 一個(gè)已獲授權(quán)及正在運(yùn)行Xray服務(wù)

? 一個(gè) 正在運(yùn)行的Kubernetes集群

? 客戶(hù)端Kubectl

? Helm客戶(hù)端以及Helm服務(wù)端配置（Tiler） 

快速安裝KubeXray：

JFrog Helm倉(cāng)庫(kù)中提供的一個(gè)Helm Chart，可以快速安裝或升級(jí)JFrog KubeXray到正在運(yùn)行的Kubernetes集群。要自定義KubeXray的配置，請(qǐng)參閱Github Readme文檔。

安裝KubeXray后，可以在values.yaml中設(shè)置前文提到的策略操作。讓JFrog KubeXray監(jiān)視您的Kubernetes pod，控制Kubernetes 集群運(yùn)行時(shí)存在的安全漏洞或License 許可證問(wèn)題。

常見(jiàn)的第三方漏洞安全監(jiān)管工具一般只在控制運(yùn)行時(shí)之前進(jìn)行安全控制，在運(yùn)行時(shí)未能做到相應(yīng)的監(jiān)管控制，KubeXray可以幫助我們快速對(duì)運(yùn)行時(shí)資源進(jìn)行安全管控，并且其作為一個(gè)開(kāi)源軟件項(xiàng)目，我們期待著繼續(xù)增強(qiáng)KubeXray以獲得更健壯的操作和特性，并歡迎開(kāi)發(fā)人員在社區(qū)提出改進(jìn)意見(jiàn)和提交代碼。

上述就是小編為大家分享的怎樣用KubeXray保護(hù)K8s環(huán)境及應(yīng)用了，如果剛好有類(lèi)似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司行業(yè)資訊頻道。

本文名稱(chēng)：怎樣用KubeXray保護(hù)K8s環(huán)境及應(yīng)用-創(chuàng)新互聯(lián)
URL分享：http://www.bm7419.com/article32/ihopc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、微信公眾號(hào)、定制網(wǎng)站、響應(yīng)式網(wǎng)站、全網(wǎng)營(yíng)銷(xiāo)推廣、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)