红帽 Kubernetes 高级集群安全防护

云原生应用需要高级安全控制

想要保护云原生应用,我们需要对安全防护方法做出重大改变。我们必须在应用开发生命周期中尽早落实安全控制,利用基础架构自身来应用控制措施,为开发人员提供便利的安全防护方案,并跟上越来越紧密的发布时间安排。

红帽® Kubernetes 高级集群安全防护由 StackRox 提供支持,可在构建、部署和运行时为重要应用提供安全防护。我们的软件可作为自助式安全防护解决方案部署在您的 Kubernetes 基础架构中,您也可以将其用作完全托管的软件即服务(SaaS)。此外还可以与您现有的 DevOps 工具和工作流集成,以提供更出色的安全性和合规性。该策略引擎包括数百个内置控制功能,可强制执行以行业标准(例如互联网安全中心(CIS)基准和美国国家标准与技术研究院(NIST)指南)为基础的 DevOps 和安全至上型最佳实践、容器和 Kubernetes 的配置管理,以及运行时安全防护措施。 

红帽高级集群安全防护为平台和应用的安全防护提供了 Kubernetes 原生架构,并使 DevOps 和 InfoSec 团队能够实施防护。

红帽 Kubernetes 高级集群安全防护的功能和优势

  • 降低运维成本
    • 引导开发、运维和安全团队使用通用语言和事实来源,降低团队孤岛造成的运维成本。
    • 在应用的构建、部署和运行时阶段使用 Kubernetes 原生控制,以更好地了解和管理漏洞、策略和配置冲突以及应用运行时行为。
    • 在开发阶段捕获和修复安全问题,降低其解决成本。
  • 降低运维风险
    • 使用内置的 Kubernetes 功能使得安全措施与基础架构更为协调,从而减少应用停机时间,具体功能包括用于分段的 Kubernetes 网络策略和用于实施安全策略的许可控制器等
    • 利用 Kubernetes 原生安全控制缓解安全威胁并执行安全策略,尽可能减少对应用和基础架构运维的影响。举例来说,为控制成功入侵的行为,可使用相关控制功能来自动指示 Kubernetes 将可疑容器集缩减至零或终止其运行,然后重新启动遭受入侵的应用实例。
  • 提高开发人员生产率
    • 利用 Kubernetes 和现有的持续集成和持续交付(CI/CD)工具提供集成式安全防护保障,以便在支持开发人员快速推进项目的同时,保持所需的安全态势。 
    • 将 Kubernetes 作为开发、安全防护和运维的标准通用平台,实现声明式和持续性安全防护,加速企业创新步伐,并为开发人员提供切实可用的行动指南。

优势详解

领域 优势
可视性
  • 提供 Kubernetes 环境的完整视图,包括镜像、容器集、部署、命名空间和配置

  • 发现并显示在所有集群跨度的命名空间、部署和容器集中的网络流量

  • 收集每个容器中的关键系统级事件,以便进行事件检测

漏洞管理
  • 根据特定的语言、软件包、镜像层,扫描镜像中的已知漏洞
  • 提供控制面板,突出显示风险最高的镜像漏洞和部署

  • 根据预配置的密钥验证镜像签名,以实现镜像证明和完整性

  • 将漏洞与运行中的部署关联,而不仅仅是镜像

  • 根据漏洞细节强制执行策略:在构建时使用 CI/CD 集成,在部署时使用动态许可控制,在运行时使用原生 Kubernetes 控制

  • 提供风险接受定制化功能,以增强基于风险的漏洞优先级并减少误报

合规
  • 让企业能够按需运行自我评估,自动执行合规性审计
  • 评估 CIS 基准、支付卡行业(PCI)、健康保险携带与责任法案(HIPAA)、北美电路可靠性公司关键基础架构保护(NERC-CIP)以及 NIST SP 800-190 和 800-53 的数百种控制的合规性
  • 提供每个标准控制的整体合规性仪表板概览,并支持导出证据,满足审计员的需求
  • 提供合规详细信息视图,确定不符合特定标准和控制的集群、命名空间、节点或部署
网络分段
  • 可视化命名空间、部署和容器集之间的允许流量与活动流量,包括外部风险
  • 利用 Kubernetes 内置的网络执行功能,确保一致、可移植和可扩展的分段
  • 基线网络活动,建议全新的 Kubernetes 网络策略,消除不必要的网络连接
  • 在实施前模拟网络策略变化,以大幅减少对环境的运维风险
风险预测
  • 通过结合红帽高级集群安全防护的漏洞优先级数据与配置详细信息和运行时活动,根据部署的整体安全风险,使用启发式算法对正在运行的部署进行排序
  • 跟踪 Kubernetes 部署安全态势的改进情况,验证安全团队操作的影响

配置管理

  • 提供预建的 DevOps 和安全策略,识别与网络风险、特权容器、以根用户身份运行的进程相关的配置违规,并确保符合行业标准
  • 分析 Kubernetes 基于角色的访问控制(RBAC)设置,确定用户或服务帐户的特权和错误配置
  • 跟踪机密信息,并检测哪些部署使用机密信息限制访问
  • 强制执行配置策略,在构建时使用 CI/CD 集成,并在部署时使用动态许可控制
运行时检测和响应
  • 监控容器内的系统级事件,检测显示威胁的异常活动,并使用 Kubernetes 原生控制进行自动响应
  • 确定容器中的流程活动基线,自动将流程列入白名单,无需手动加入白名单
  • 使用预构建的策略,检测加密开采、权限升级和各种漏洞
  • 使用扩展的 Berkeley Packet Filter(eBPF)或每个主要 Linux® 发行版的内核模块,灵活地收集系统级数据
集成
  • 提供丰富的应用编程接口(API)和预建插件,集成 DevOps 系统,包括 CI/CD工具、镜像扫描程序、sigstore、注册表、容器运行时、安全集成事件管理(SIEM)解决方案和通知工具

已准备好将红帽高级集群安全防护运用于实践? 

立即开始免费试用。

开始试用