云原生安全威胁和陷阱:您的最后一道防线是什么?

导语

当您进入云原生环境时,是时候重新考虑旧式备份和恢复系统了,而可移植性是关键。

正文

Kubernetes是创新的,但不是刀枪不入的。6月2日,一组使用Jenkins Artifactory系统的插件开发人员发现了他们正在使用的Kubernetes部署中的错误。它的严重性足以淘汰他们的平台,迫使他们从头开始重建其部分内容,同时又失去了一个包含有关用户及其帐户详细信息的数据库的三个月的工作。

后来,当他们重新注册旧的在线帐户时,他们发现该帐户已自动启用了已删除的旧帐户的所有访问权限。这意味着有人可能会溜进去,以相同的名称注册一个帐户,然后用它以受害公司的幌子将恶意软件推向毫无戒心的用户。

这不只是理论上的情况;攻击者一直在寻找带有错误配置端口的Kubernetes编排容器-在某些情况下,每天针对每个IP地址进行的扫描超过100次。例如,端口扫描服务商Shodan进行的搜索发现,大约6,000个IP地址带有易受攻击的Docker(关注 开源村 osvosvosv 获取更多k8s资讯)安装,使它们暴露于一个加密恶意软件脚本中,该脚本关闭了安全性,同时阻止了竞争性加密货币攻击者。

在过去的六年中,由于多种原因,Kubernetes已成为所有类型的云原生应用程序的高性能平台。但是,尽管Kubernetes提供一定程度的弹性,但是如果没有添加控件,用户经常存储在Kubernetes(关注 开源村 osvosvosv 获取更多k8s资讯)环境中的数据将是不安全的。保护数据日益成为当前商业企业的头等大事,仍然是依赖Kubernetes的开发人员,IT和安全团队的责任。

Kubernetes有多种版本和风格-每年发行三至四次新版本-并且越来越多的支持Kubernetes生态系统的供应商。选择的自由是使Kubernetes如此强大的原因之一。不幸的是,如果您对部署有新手经验,或者过多的支持解决方案会因配置错误而带来风险,那么这也会带来风险。Kubernetes Backup and Mobility是一项关键服务,可作为从安全攻击和意外错误配置中恢复的最后一道防线。

备份基本的云原生应用程序(包括相关数据,尤其是当它们由不同供应商拥有的资源矩阵保存时)可能是具有挑战性的。一些备份系统迫使客户在各种供应商和环境选项之间进行选择,然后将其锁定在该选项中。但是,出于安全性,成本或某些情况下合规性的原因,需要随时间在环境之间迁移应用程序。为了使备份和灾难恢复系统有用,它需要无缝地跨越Kubernetes( 关注 开源村 osvosvosv 获取更多k8s资讯)的环境和位置,跟随客户的应用程序和数据随身携带,而又不会忽略保护策略。

因此,应用程序的可移植性和移动性是越来越多的IT部署和项目的基本要求。除此之外,由于每个新的微服务都内置在应用程序中,由于其独特的优势,它倾向于使用自己的数据库(关注 开源村 osvosvosv 获取更多k8s资讯)。这是很多活动的部分。将开发,处理,数据库,存储和安全性的不同场所加在一起后,您将开始看到当今大多数数字创新通常涉及的复杂资源网格。

幸运的是,存在专门为Kubernetes设计的备份和灾难恢复解决方案,并提供了以应用程序为中心的数据保护和管理方法。作为最后一道防线,这种解决方案可以克服在不断发展的云原生生态系统中工作的复杂性。

在研究潜在的解决方案时,要寻找的一些关键属性包括:

•自动发现应用程序的能力。

•与关系数据库和NoSQL数据库的集成。

•Kubernetes跨本地分布。

•云为企业提供了选择基础架构的自由,而又不牺牲操作的简便性。

总之,请确保运营/ IT团队已部署了最后一道防线,该防线可用于保护和从影响云原生应用程序的问题中恢复。确保部署的备份解决方案是Kubernetes(关注 开源村 osvosvosv 获取更多k8s资讯)原生的,可以与现代数据库一起使用,并允许您自由选择在本地和公有云之间工作。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20200801A03XAP00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券