Kubernetes提供的和不提供的安全功能

作者：Twistlock产品营销和传播总监Sonya Koptyev

要说Kubernetes没有提供安全功能是错误的。Kubernetes提供了一些旨在帮助保护容器化应用程序的功能。

但将Kubernetes称为容器安全工具同样是错误的。Kubernetes保护容器的能力受到严格限制。

如果你使用Kubernetes来编排你的容器化应用程序，了解Kubernetes安全性的限制对于确保你不会在安全策略中留下空白至关重要。

考虑到这一挑战，让我们来看看Kubernetes在安全方面做了什么和不做什么。

Kubernetes提供的安全功能

以下是Kubernetes可以帮助你保持容器环境安全的方法。

Pod安全政策

Pod安全政策可能是Kubernetes中最重要的安全功能。它们让你明确允许或禁止各种与安全相关的行为，并且它们在整个群集中自动实施。例如，你可以使用pod安全政策来阻止容器以特权模式运行，特权模式使它们具有相当级别的主机系统访问权限，并且在许多情况下可能存在安全风险。

身份验证和授权

Kubernetes提供了一个框架，用于要求对API端点进行身份验证和授权。默认情况是关闭强制身份验证，因此你需要确保将其打开，但它仍然是Kubernetes中内置的安全功能。

基于角色的访问控制

Kubernetes还提供了一个强大的基于角色的访问控制（role-based access control，RBAC）框架，允许你根据用户名和组定义谁可以访问哪些资源。RBAC是另一个有助于改善Kubernetes安全性并防止未经授权访问的重要功能。

数据加密

只要你在安装Kubernetes时正确设置安全证书，Kubernetes就会使用TLS加密来保护大多数内部和外部网络流量。

资源访问限制

你可以设置资源配额以限制Kubernetes中的资源消耗。虽然安全问题不是你想要设置配额的唯一原因（它们可以帮助确保没有用户以牺牲其他用户为代价占用所有群集的资源），但配额可以帮助降低安全风险，通过防止受损的应用程序或服务消费无限的资源。

Kubernetes不提供的安全功能

从安全角度来看，上述所有方法都有助于平滑Kubernetes中的一些粗糙边缘。但是，即使你使用上述所有Kubernetes功能，除非你还使用其他安全工具，否则你将远远不能保持集群和应用程序的安全。

这是因为Kubernetes没有解决许多重要的容器安全风险，包括以下部分。

容器内的漏洞

Kubernetes没有检查容器镜像是否存在潜在的漏洞。它也不能阻止（甚至检测）容器内的恶意软件损害其他容器或整个应用程序。这就是你应该扫描容器镜像以查找漏洞的原因。

主机安全

除了阻止容器以特权模式运行之外，Kubernetes不会帮助保持主机基础架构的安全。从主机安全性的角度来看，Kubernetes基本上只是在服务器上运行的应用程序。对保护你的服务器不会有任何帮助，正如Windows计算器保护你的Windows PC的说法差不多。

容器仓库安全

如果你使用容器仓库来存储镜像（如果你有生产Kubernetes环境，则可能会这样做），Kubernetes也不安全。Kubernetes将很乐意与你的仓库集成，但它不能确保它配置了适当级别的访问控制，或者其中的镜像是安全的。

容器运行时

Kubernetes支持一系列容器运行时。（运行时是实际执行容器的工具；Kubernetes只是在运行的时候管理容器。）但无论你使用哪个容器运行时，Kubernetes都不会做任何事情来确保它没有安全漏洞。你需要一个可以为此目的监视运行时的外部工具。

结论

总结一下：Kubernetes可以做一些事情来帮助保持容器化应用程序的安全 - 即是，它可以实施身份验证和访问控制政策，并做一些其他基本的事情（如限制资源消耗），可以减轻安全漏洞的影响。

但是当谈到核心安全风险时，包括容器镜像安全性和运行时安全性，Kubernetes无法保护你。其他工具可以，但不要错误地假设只是因为Kubernetes做了很多其他事情，它也有安全保障。