Kubernetes là công nghệ đột phá mới nhất trong thế giới điện toán đám mây. Trong thập kỷ trước, cấu trúc microservice đã tập trung vào việc tạo ra các dịch vụ độc lập nhỏ nhanh nhẹn và đáng tin cậy. Hơn nữa, các vùng chứa đã làm cho cấu trúc microservice thành công vì chúng là một sự phù hợp tự nhiên với khả năng mở rộng và tính di động.
Khi số lượng vùng chứa tăng lên và trải rộng trên các trung tâm dữ liệu, việc quản lý các vùng chứa trên đám mây trở nên không khả thi. Kubernetes đã phát triển thành nền tảng quản lý vùng chứa trên thực tế và giúp các ứng dụng microservice gốc đám mây có thể chạy nhanh chóng trên đám mây.
Tất cả các nhà cung cấp đám mây lớn đều cung cấp Kubernetes như một dịch vụ quản lý, nơi bạn có thể nhấp vào một vài nút để tạo một cụm và bắt đầu. Ngoài ra, có thể triển khai và quản lý Kubernetes trong các trung tâm dữ liệu tại chỗ vì nó là một dự án mã nguồn mở.
Kubernetes tăng khả năng mở rộng và tính khả dụng của phần mềm đồng thời tối ưu hóa chi phí CNTT. Nó cũng mang lại khả năng thích ứng trong môi trường nhiều âm thanh. Tuy nhiên, Kubernetes không an toàn theo mặc định – và nó đi kèm với nhiều rủi ro bảo mật mới.
Blog này trước tiên sẽ thảo luận về bề mặt tấn công gốc đám mây và những thách thức của nó. Sau đó, chúng tôi sẽ tập trung vào những việc bảo mật của Kubernetes và các cuộc tấn công mới nhất.
Các thách thức và bề mặt tấn công gốc đám mây
Cấu trúc hiện đại gốc đám mây được tạo thành từ nhiều lớp, bao gồm các ứng dụng, bộ điều phối vùng chứa và cơ sở hạ tầng. Các ứng dụng bao gồm các vùng chứa nhỏ và di động để chạy với nhiều phiên bản. Các nhà điều phối như Kubernetes quản lý các phiên bản vùng chứa và phân phối chúng qua cơ sở hạ tầng.
Trong lớp cơ sở hạ tầng, có các nút, mạng và lưu trữ từ các nhà cung cấp đám mây. Mỗi lớp của cấu trúc gốc đám mây này tạo ra một bề mặt tấn công mới cho các mối đe dọa. Năm thách thức tiềm ẩn hàng đầu liên quan đến các bề mặt tấn công như sau:
-
Định cấu hình sai và lộ sơ hở
Cơ sở hạ tầng đám mây, Kubernetes và các ứng dụng microservice có khả năng cấu hình cao với nhiều tùy chọn. Một ngày bình thường đối với nhà điều hành ứng dụng gốc đám mây bao gồm quản lý cấu hình – một nhiệm vụ đầy thách thức, vì cấu hình sai có thể khiến các ứng dụng không khả dụng. Tương tự, việc thiết lập chính sách mạng sai có thể làm lộ các phiên bản cơ sở dữ liệu nhạy cảm với các hệ thống bên ngoài. Do đó, điều quan trọng là phải có một số hàng rào bảo vệ cho các cấu hình sai.
-
Chu vi bảo mật không rõ ràng
Các ứng dụng và vùng chứa gốc đám mây tạo ra một ngăn xếp phụ thuộc lẫn nhau gồm nhiều thành phần. Ví dụ, thông thường là sử dụng các dịch vụ đám mây, các nút ảo trong trung tâm dữ liệu và mạng đồng thời. Do đó, việc xác định chu vi bảo mật và bảo vệ nó không phải là điều dễ dàng. Nó yêu cầu một cấu trúc và khái niệm bảo mật được xác định rõ ràng để bảo vệ các ứng dụng gốc đám mây chạy trên đám mây.
-
Bảo mật vùng chứa
Vùng chứa là các gói nhỏ có hệ điều hành, tệp thực thi ứng dụng và các phần phụ thuộc. Một trong những thành phần vùng chứa này có thể mang các lỗ hổng bảo mật. Điều quan trọng là phải có các hình ảnh vùng chứa được quét và bảo mật, vì chúng chạy trên quy mô hàng trăm trường hợp trong một cụm Kubernetes thông thường.
-
Bảo mật thời gian chạy
Ngay cả khi bạn bảo mật các dịch vụ đám mây và quét các vùng chứa để tìm lỗ hổng, vẫn có những mối đe dọa trong giai đoạn chạy. Trong giai đoạn thời gian chạy, các ứng dụng được đóng gói dưới dạng vùng chứa chạy trên các nút ảo. Điều quan trọng là đảm bảo rằng các ứng dụng không để lộ dữ liệu khi chúng chạy và chúng có quyền truy cập hạn chế vào các hệ thống bên ngoài.
-
Khả năng quan sát
Khả năng thích ứng và khả năng mở rộng là những lợi ích chính của các ứng dụng gốc đám mây hiện đại. Tuy nhiên, việc giám sát các ứng dụng phân tán và tạo ra khả năng quan sát tổng thể của toàn bộ ngăn xếp là một yêu cầu quan trọng. Nếu không có khả năng quan sát, không thể biết chính xác trạng thái của các ứng dụng, các cụm, nút và cơ sở hạ tầng Kubernetes.
Bảo mật Kubernetes
Kubernetes là nhà lãnh đạo không thể chối cãi trong việc điều phối vùng chứa và nó có một vị trí vững chắc trong tương lai của đám mây. Theo khảo sát thường niên năm 2021 của Cloud Native Computing Foundation (CNCF), 96% tổ chức phản hồi sử dụng hoặc có kế hoạch sử dụng Kubernetes trong sản xuất.
Tuy nhiên, sẽ là một sai lầm nếu coi Kubernetes là một nền tảng an toàn dựa trên thị phần cao của nó. Một cuộc khảo sát năm 2020 của StackRox về bảo mật Kubernetes tiết lộ rằng 90% người được hỏi đã gặp sự cố bảo mật trong môi trường Kubernetes của họ vào năm trước. Một nghiên cứu về việc áp dụng Kubernetes và bảo mật do Red Hat thực hiện vào tháng 5 năm 2022 cho thấy những vấn đề tương tự vẫn tiếp tục xảy ra:
- 94% người tham gia đã gặp phải ít nhất một sự cố bảo mật trong Kubernetes
- 59% người tham gia cho biết bảo mật là mối quan tâm lớn nhất của họ về việc tiếp tục hành trình Kubernetes của họ
- 55% người tham gia cần phải trì hoãn việc phát hành ứng dụng vì vấn đề bảo mật Kubernetes
Kể từ khi Kubernetes ra đời, các cụm của nó đã nhiều lần bị nhắm mục tiêu trong các sự cố bảo mật quan trọng như tấn công siloscape và cryptojacking. Siloscape là một phần mềm độc hại xáo trộn hoạt động trong các vùng chứa của Windows. Nó mở ra một cửa sau khi các cụm Kubernetes được cấu hình kém và cho phép tin tặc truy cập. Một khi tin tặc có thể tiếp cận các cụm Kubernetes, chúng có thể chạy phần mềm độc hại và truy cập dữ liệu nhạy cảm, tận dụng nó thành một cuộc tấn công ransomware.
Các cụm Kubernetes của Tesla đã bị xâm phạm thông qua dữ liệu bảng điều khiển Kubernetes bị lộ và sau đó được sử dụng để khai thác tiền điện tử trong một cuộc tấn công năm 2018. Các sự kiện mới nhất trong hệ sinh thái Kubernetes và các cuộc khảo sát trên đều cho thấy Kubernetes theo mặc định là không an toàn và ngày càng có nhu cầu về các phương pháp và công cụ dựa trên đám mây hiện đại.
Cơ sở hạ tầng mạng Acronis
Acronis Cyber Infrastructure là giải pháp toàn diện để bảo vệ bề mặt tấn công hoàn chỉnh trên nền tảng đám mây và chống lại các thách thức bảo mật trong Kubernetes. Đây là công cụ gốc đám mây nổi bật để bảo vệ các cụm Kubernetes, lớp ứng dụng và cơ sở hạ tầng bên dưới bằng các tính năng mới và thú vị của nó.
- Tránh cấu hình sai với cấu hình tự động và giao diện người dùng: Acronis Cyber Infrastructure cung cấp một nền tảng nơi mọi thứ được triển khai dễ dàng thông qua giao diện người dùng của nó. Ngoài ra, các cấu hình an toàn nhất sẽ tự động được áp dụng.
- Nhắc nhở các bản sửa lỗi CVE cho nền tảng và Kubernetes: Nhóm bảo mật Acronis liên tục theo dõi các lỗ hổng bảo mật và nếu cần, chuẩn bị các bản cập nhật với các bản vá bảo mật. Các bản cập nhật có thể được triển khai ngay lập tức cho các cụm Kubernetes bằng bảng điều khiển Acronis Cyber Infrastructure.
- Tự động luân phiên chứng nhận: Nền tảng cung cấp một lệnh dễ sử dụng duy nhất để thay thế các chứng nhận hiện có bằng các chứng nhận mới.
Bắt đầu bản dùng thử miễn phí của bạn với sự hỗ trợ của chuyên gia Acronis và bảo mật môi trường Kubernetes của bạn với nền tảng hiện đại gốc đám mây.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666
Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin