۷ ویژگی کلیدی برای Kubernetes و امنیت کانتینر

Uptycs ترکیبی از تشخیص تهدید برای Kubernetes و زمان‌های اجرا کانتینر، همراه با اسکن خودکار رجیستری و بررسی‌های سخت‌سازی Kubernetes است. در اینجا نکات برجسته است.

بسیاری از سازمان‌ها سفر Kubernetes و کانتینر خود را آغاز می‌کنند، در حالی که سایرین با افزایش مقیاس‌بندی استقرار خود، با مشکلات پیچیدگی مواجه می‌شوند. برنامه های کاربردی کانتینری مزایای زیادی به همراه دارند، اما انواع جدیدی از چالش های امنیتی را نیز معرفی می کنند.

Uptycs با اولویت‌بندی پاسخ‌های شما به تهدیدها، آسیب‌پذیری‌ها، پیکربندی‌های نادرست، قرار گرفتن در معرض داده‌های حساس، و الزامات انطباق – همه از یک پلت‌فرم، رابط کاربری و مدل داده، خطر را برای بارهای کاری کانتینر داخلی و ابری شما کاهش می‌دهد. Uptycs تشخیص تهدید را برای زمان‌های اجرا کانتینر مرتبط با حملات هواپیمای کنترل Kubernetes فراهم می‌کند. این محصول همچنین از اسکن تصاویر کانتینر در رجیستری ها برای آسیب پذیری ها، بدافزارها، اعتبار، کلیدهای مخفی و سایر اطلاعات حساس پشتیبانی می کند. این قابلیت‌ها برای استقرارهای Kubernetes خود مدیریت و همچنین برای سرویس‌های مدیریت‌شده مانند Amazon Elastic Kubernetes Service، Azure Kubernetes Service و Google Kubernetes Engine در دسترس هستند.

این راه‌حل‌های Uptycs از افزایش هماهنگی بین تیم‌ها، حذف سیلوهای داده برای Kubernetes و استقرار کانتینر، شناسایی سریع‌تر تهدید و زمان پاسخگویی، و شناسایی سریع خطراتی مانند پیکربندی‌های نادرست و آسیب‌پذیری‌ها پشتیبانی می‌کنند.

eBPF در استقرار کانتینر لینوکس 

اساس قابلیت مشاهده زمان اجرا کانتینر Uptycs، فناوری توسعه یافته فیلتر بسته برکلی (eBPF) است. حسگر Uptycs از eBPF برای ثبت رویدادهای فرآیند، فایل و سوکت در هسته لینوکس استفاده می کند. eBPF قابلیت مشاهده، سرعت و راحتی در زمان واقعی را برای نظارت بر داده های رویداد با حجم بسیار بالا ارائه می دهد. eBPF یک راه امن برای تعامل با هسته لینوکس و یک جایگزین ترجیحی برای اتصال به چارچوب ممیزی شده است. همچنین یک کامپایلر به موقع (JIT) است. پس از کامپایل شدن بایت کد، eBPF به جای تفسیر جدیدی از بایت کد برای هر روش فراخوانی می شود.

با eBPF، Uptycs برای نظارت بر رویدادهای مورد علاقه، کاوشگرها را در هسته لینوکس قرار می دهد. این زمانی اتفاق می‌افتد که حسگر راه‌اندازی می‌شود و اطلاعات را به فرآیند سرزمین کاربر باز می‌گرداند، و استفاده از منابع مورد نیاز برای نظارت عمیق امنیتی را تا حد زیادی کاهش می‌دهد. eBPF به راحتی برای این فرآیند پیکربندی می شود و هیچ تاخیری در استقرار ایجاد نمی کند.

eBPF یک چارچوب ردیابی یکپارچه واحد، قدرتمند و در دسترس برای فرآیندهای ردیابی به شما می دهد. استفاده از eBPF به افزایش غنای ویژگی یک محیط بدون افزودن لایه های اضافی کمک می کند. به همین ترتیب، از آنجایی که کد eBPF مستقیماً در هسته اجرا می‌شود، می‌توان داده‌ها را بین رویدادهای eBPF به جای ریختن آن مانند سایر ردیاب‌ها ذخیره کرد.

تشخیص تهدید در زمان اجرا کانتینر

مقیاس‌سازی استقرار کانتینر به معنی دارایی‌های زودگذر بیشتر برای تیم‌ها است که می‌توانند ایمن و محافظت کنند. با استفاده از تله متری دقیق جمع آوری شده از طریق eBPF، Uptycs قادر است رفتارهای مخرب را در زمان واقعی شناسایی کند، و ردیابی ها را به چارچوب حمله Mitre نگاشت. Uptycs تهدیدات را در گره‌ها و کانتینرهای در حال اجرا شناسایی می‌کند، از دورسنجی کانتینر و گره دانه‌ای که رویدادهای فرآیند را پوشش می‌دهد، رویدادهای فایل، جستجوی DNS، رویدادهای سوکت و موارد دیگر را می‌گیرد.

داده‌ها در زمان واقعی در جداول SQL عادی می‌شوند، و ایجاد چارچوب‌های تشخیص پیچیده که صدها سیگنال را به هم متصل می‌کنند، یکپارچه می‌سازد. بیش از ۲۰۰ قانون Yara فایل‌های باینری را برای امضای بدافزار اسکن می‌کنند، در حالی که بیش از ۱۳۰۰ قانون رفتاری سیگنال‌های حاصل از تله‌متری رویداد را در زمان واقعی نظارت می‌کنند.

قفل کردن صفحه کنترل Kubernetes

هواپیمای کنترلی Kubernetes یک هدف با ارزش برای مصالحه مهاجمان است. از هواپیمای کنترلی، مهاجمان می‌توانند کانتینرهای ممتاز ایجاد کنند، استانداردهای پیکربندی را ضبط کنند و به زیرساخت ابری شما عمیق‌تر بپیوندند. Uptycs بیش از ۵۰ جدول تله متری را می گیرد که همه اشیاء Kubernetes را در پادها، استقرارها، نقشه های پیکربندی، ingress، RBAC و موارد دیگر پوشش می دهد.

این تله متری از طریق یک منبع، دید چند خوشه ای را در مورد انطباق، تهدیدات و آسیب پذیری ها فراهم می کند. از یک نمای ماکرو تا نمای دانه‌ای به فضاهای نام، پادها و بارهای کاری، تله‌متری Uptycs با هدف پاسخگویی به سؤالات زیرساختی از مشاهده انطباق تا تهدیدات زمان اجرا می‌باشد.

برای مثال، از یک هواپیمای کنترلی Kubernetes در معرض خطر، مهاجمان کانتینرهای ممتاز را شکار می‌کنند یا خودشان کانتینرهای ممتاز ایجاد می‌کنند. Uptycs دستورات مربوط به پادهای ممتاز را که در خوشه‌های Kubernetes شما ایجاد می‌شوند، نظارت می‌کند، مهاجمان را در طول فرآیند ایجاد این حملات متوقف می‌کند و کاربران را تشویق می‌کند تا کانتینرهای تغییرناپذیر با مجوزهای درست به جای استقرار بیش از حد امتیاز ایجاد کنند.

یکپارچه سازی داده های صفحه کنترل و صفحه داده

مهاجمان در سیلوها فکر نمی‌کنند، بنابراین بسیار مهم است که داده‌های بخش‌های مختلف زیرساخت Kubernetes برای ردیابی اقدامات مهاجم با هم مرتبط باشند. عوامل تهدید دائماً زیرساخت‌ها را بررسی می‌کنند و برای حملات کانتینری تلاش می‌کنند. به دلیل دشواری در گرفتن، ذخیره و پردازش این دو منبع داده با هم، تیم‌ها برای مرتبط کردن تهدیدات زمان اجرا از کانتینرهای در حال اجرا و صفحه کنترل Kubernetes تلاش می‌کنند.

Uptycs داده‌ها را از صفحه کنترل و صفحه داده جمع‌آوری می‌کند و این منابع را در زمان واقعی برای قابلیت‌های تشخیص فوری گرد هم می‌آورد.

اسکن رجیستری مناسب برای برنامه نویس

اسکن رجیستری بخش مهمی از امنیت devops است. استقرارها سریعتر می شوند و بسیار مهم است که تصاویر کانتینر قبل از رسیدن به زمان اجرا “طلایی” شوند. بار در حال جابجایی بیشتر به سمت چپ است و تیم‌های امنیتی به روش‌های مطمئن و بدون درز برای پشتیبانی از فرآیندهای توسعه نیاز دارند. دیگر برای شناسایی آسیب پذیری ها کافی نیست. شما به روش هایی برای اولویت بندی آنها نیاز دارید.

هماهنگی تلاش‌های اصلاحی در میان شرکت‌ها، عملیات و تیم‌های امنیتی کار دشواری است. برای کمک به هدایت این تیم‌ها، Uptycs زمینه حیاتی را از طریق شاخص‌های هوشمند فراهم می‌کند تا نه تنها آسیب‌پذیری‌ها را نشان دهد، بلکه نحوه اولویت‌بندی تلاش‌های اصلاحی را نیز نشان دهد. ارائه صرف نمره شدت کافی نیست. تیم ها باید بدانند که آیا پورت های شبکه برای اینترنت باز هستند یا اینکه نرم افزار مورد نظر واقعاً در حال اجرا است.

Uptycs می تواند رجیستری کانتینر شما را برای ۶۰۰۰۰ CVE لینوکس و نشانگر ۷M اسکن کند. اسکن خودکار شامل CVE های جدید می شود که برای نظارت و به روز رسانی یکپارچه وضعیت امنیتی رجیستری منتشر می شوند. رجیستری های پشتیبانی شده عبارتند از JFrog Artifactory، Amazon Elastic Container Registry، Google Container Registry، Azure Container Registry و Docker Hub.

کشف اسرار جاسازی شده

اسرار عمومی و جاسازی شده به سرعت در حال تبدیل شدن به یک نقطه ورود رایج برای مهاجمان هستند، روندی که در اواخر سال ۲۰۲۲ با اوبر را با سرقت اطلاعات کاربری رمزگذاری شده موجود در اسکریپت های PowerShell به خطر انداختند.

با Uptycs، می توانید تصاویر را برای اسرار جاسازی شده با استفاده از قوانین Yara و بیش از ۱۰۰ هشدار مبتنی بر regex، که در خط لوله CI/CD شما برای اقدامات Jenkins، GitLab و GitHub گنجانده شده است، اسکن کنید. شما می توانید از تیم devops حتی بیشتر با عدم موفقیت در ساخت تصویر از رسیدن به مرحله تولید پس از کشف اسرار پشتیبانی کنید.

بررسی سخت‌گیری NSA برای استقرار Kubernetes

صفحه کنترل Kubernetes شما سرور مرکزی API فرمان و کنترل برای استقرار کانتینر شما است. به این ترتیب، به حداکثر امنیت نیاز دارد، زیرا تصاویر در زمان اجرا نیاز به حفاظت و سخت شدن بیشتری دارند. به همین دلیل است که NSA و CISA دستورالعمل‌های گسترده‌ای را در مورد سخت‌کردن K8s و استقرار زمان اجرای کانتینر از طریق پیکربندی‌های منتشر شده برای امنیت پاد و تقسیم‌بندی شبکه منتشر کرده‌اند.

این استانداردهای منتشر شده تهدید ناشی از سه هدف اصلی مهاجم را کاهش می‌دهد: DDoS برای از بین بردن کانتینرهای در حال اجرا، ربودن کانتینرها برای تبدیل آنها به cryptominer، و استخراج داده‌ها.

Uptycs این قوانین دستورالعمل NSA را به قوانین انطباق ترجمه کرده است. بنابراین، به عنوان مثال، اعمال یک مجموعه قانون «رد کردن کانتینرها با دسترسی HostPID» به آسانی فعال کردن مجموعه قوانین می‌شود. سپس، پس از پرتاب یک کانتینر از هواپیمای کنترلی Kubernetes شما، زمان اجرا شما به طور مداوم در برابر فهرست بررسی‌های سخت‌سازی NSA در طول زمان اجرا تأیید می‌شود تا اطمینان حاصل شود که مهاجم کانتینر را برای افزایش امتیازات تغییر نداده است یا اینکه کانتینرها از آن خارج نمی‌شوند. تصویر طلایی آنها.

گانش پای موسس و مدیر عامل Uptycs است.

—

New Tech Forum مکانی برای کاوش و بحث در مورد فناوری سازمانی نوظهور در عمق و وسعت بی سابقه ای فراهم می کند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه سوالات را به newtechforum@infoworld.com ارسال کنید.