SUSE 怎样抵御勒索软件攻击 容器安全
|
当容器的利用率上升时,容器化软件逐渐成为了勒索软件攻击的目标,而 Kubernetes 环境本身的动态特性也带来了独特的挑战。勒索软件的传播速度可能非常快,可能会感染镜像仓库或软件供应链的其他部分,导致 Kubernetes 集群中的所有 Pod 遭到破坏。攻击者还可能控制 Kubernetes 集群,使攻击难以停止。 要防止零日攻击,我们需要实施基于行为的零信任策略,该策略可以观察并阻止在网络或系统上试图偏离预期的应用程序行为。换言之,即使攻击者获得了应用程序的控制权,也无法访问集群中的其他应用程序。通常情况下,大多数后端应用程序不会公开,安全保护比较弱,有些应用程序还具有比较高的系统权限。因此,如果能控制这些应用程序的网络或数据访问,攻击者就有机会进一步进行传播。 我们不仅可以使用 SUSE NeuVector 来实施系统和网络级别的零信任策略,还可以查看每个 Pod 通过 DPI 技术建立的连接,可视化和检测 Kubernetes 环境中的可疑活动。 在云原生环境中拥有安全软件供应链的重要性 软件供应链是云原生环境的重要组成部分。这是一个端到端的过程,可以确保云原生环境中使用的所有应用程序和组件都是安全的,从运行 Kubernetes 的硬件和操作系统,到最终应用程序上使用的所有库。 这就是 SLSA4 和 Common Criteria EAL4+ 等认证体现价值的地方,它们确保了用于产品开发和维护的 SUSE 流程通过了这些认证的严格安全要求。 但是,我们不能总是使用经过认证的软件。因此,我们需要使用 SUSE NeuVector 等安全平台或 Rancher 等 Kubernetes 集群管理平台来扫描镜像仓库中的镜像漏洞、验证是否符合安全要求、在基础设施上运行安全 Benchmark 等。更重要的是,这些检查可以重复执行,而且是自动化的,不是一次性的。对于大多数企业来说,这是一个巨大的挑战,因为他们需要花费大量的时间和精力来进行这些工作。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
