按照基准进行持续测试,建立自动化测试体系
时间:2022-04-12 21:12:02 | 来源:行业动态
时间:2022-04-12 21:12:02 来源:行业动态
即使配置正确,大家也必须记住一点:根据设计要求,容器体化工作负载以及运行所处的基础设施并非静态不变。这些环境高度动态,因此必须将安全保障视为一种持续性实践。
Dang提到,合规性检查也可以自动化,只有这样才能准确评估当前环境对于各类基准及行业标准的遵循情况。
从安全性与合规性的角度来看,Kubernetes环境中最着名的检查(及重新检查)标准之一当数CIS Kubernetes基准。这是一份免费清单,包含约200项设置与安全配置最佳实践。
这份清单系统且全面,但同时也令企业几乎不可能手动按照内容要求定期检查动态环境。好消息是,目前市面上的现成工具能够自动高效地完成这项工作。
Aqua开发的kube-bench是一款免费开源工具,能够根据CIS Kubernetes基准自动检查IT环境。事实上,目前CIS指南已经成为一项重要的运营前提,Red Hat OpenShift Container Platform 4就专门根据其中的条目为用户选择了合作商工具。在kube-bench的帮助下,企业能够持续检查自己的安全状况,确保集群不致偏离合规性要求。
NeuVector也提供一组免费开源脚本,可根据最佳实践自动检查Kubernetes的安装情况。
同样来自Aqua的还有一款开源kube-hunter工具,可根据已知漏洞对集群发动模拟攻击。
Osnat指出,如果说CIS基准测试关注的是单一设置及其对整体安全状况产生的影响,那么kube-hunter就是通过数十种已知攻击向量对集群发动渗透测试,借此实现安全性补充。它会模拟攻击集群,验证集群是否抵御得住各种已知的攻击手段。它还提供关于设置的变更建议,帮助大家快速对所发现的安全漏洞施以补救。
最后,开源阵营还有另外一位新成员同样来自Aqua的Starboard,一款面向Kubernetes安装的安全工具包。
Osnat总结道,Starboard努力将各种工具集成到K8s的体验当中,包括漏洞扫描工具、工作负载审计器以及基准测试等。它基于K8s CRD(定制化资源定义)实现,并可通过Kubernetes API进行访问。熟悉kubectl(K8s的原生CLI)的用户能够轻松从中获取安全信息,并据此编程以进一步提升自动化水平。