女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

Kubernetes在授權方面的挑戰和防御措施

如意 ? 來源:企業網D1Net ? 作者:Tim Hinrichs ? 2020-10-08 14:23 ? 次閱讀

隨著越來越多的組織將容器化應用程序轉移到生產環境中,Kubernetes已經成為在私有云、公共云和混合云環境中管理這些應用程序的有效方法。事實上,根據云原生計算基金會的調查,至少84%的組織已經在業務中使用容器,78%的組織利用Kubernetes來部署容器。

Kubernetes的強大功能和吸引力在于,與大多數現代API不同,Kubernetes API是基于意圖的,這意味著使用它的組織只需要考慮讓Kubernetes做什么,而不是他們希望采用Kubernetes如何實現這個目標。這是一個具有可擴展性、彈性且因此流行的系統。總而言之,Kubernetes加快了應用交付速度。

然而,云原生環境中的變化在設計上是不變的,這意味著其運行是非常動態的。動態性和大規模成為一個公認的風險解決方案,而當今的現代環境確實帶來了新的安全性、操作性和合規性的挑戰。考慮以下問題:當工作負載僅存在幾微秒時,如何控制它的特權級別?當所有服務都是動態構建且只根據需要構建時,如何控制哪些服務可以訪問全球互聯網?混合云環境中的外圍在哪里?由于云原生應用程序是短暫且動態的,因此確保其安全的要求要復雜得多。

Kubernetes在授權方面的挑戰

而且,Kubernetes在授權方面面臨了獨特的挑戰。在過去,“授權”這個簡單的術語提出了人們可以執行哪些操作或“誰可以執行什么操作”的概念。但是在容器化的應用程序中,該概念已經得到更大擴展,也包括了哪個軟件或哪些機器可以執行哪些操作(也稱為“什么可以做什么”)的概念。一些分析師開始使用“業務授權” 這個術語指代以帳戶為中心的規則,而“基礎設施授權”則用于其他所有內容。當給定的應用程序有一個由15名開發人員組成的團隊,但由具有數千個服務的數十個集群組成,并且它們之間有無數的連接時,很明顯,“能做什么”規則比以往任何時候都更加重要,并且開發人員需要用于在Kubernetes中創建、管理和擴展這些規則的工具。

因為Kubernetes API是基于YAML的,所以授權決策需要分析YAML的任意塊以做出決策。這些YAML塊應為每個工作負載定義配置。例如執行一項策略,確保所有圖像都來自受信任的存儲庫,需要掃描YAML以找到所有容器的列表,在該列表上進行迭代,提取特定的圖像名稱,然后對該圖像名稱進行字符串解析。例如,另一個策略可能是“防止服務以root身份運行”,這將需要掃描YAML以找到容器列表,在這個列表上進行迭代以檢查是否有特定于容器的安全設置,然后組合這些設置具有全局安全性參數。不幸的是,沒有任何傳統的“業務授權”訪問控制解決方案(例如基于角色或基于屬性的訪問控制、IAM策略等)具有足夠強大的功能來強制執行上述基本策略,甚至只需簡單更改Pod上的標簽

即使在快速發展的容器世界中,只有一件事仍然保持不變:安全性的優先級經常排在后面。如今,很多組織的DevSecOps團隊致力于將安全性轉移到開發周期中,但是如果沒有合適的工具,往往會在更晚的時候發現并補救挑戰和合規性問題。實際上,為了真正滿足DevOps流程的上市時間目標,必須在開發流程中更早地實施安全和合規性策略。事實證明,在開發的早期階段消除風險之后,安全策略才能發揮最大作用,這意味著在交付流程結束時不太可能出現安全問題。

但是,并非所有開發人員都是安全專家,并且對于不堪重負的DevOps團隊來說,確保對所有YAML配置進行人工檢查是保證成功的途徑。但是組織不必為了提高效率而犧牲安全性。開發人員需要適當的安全工具,通過實施護欄來消除失誤和風險,從而加快開發速度,從而確保Kubernetes部署符合法規要求。組織需要采用一種改進總體流程的方法,該方法對開發人員、運營、安全團隊和業務本身都是有益的。好消息是,有一些可與現代管道自動化和“作為代碼”模型一起使用的解決方案可以減少錯誤和工作量。

輸入開放政策代理

開放策略代理(OPA)越來越多地成為Kubernetes首選的“誰可以做什么”和“什么可以做什么”工具。開放策略代理(OPA)是由Styra公司創建的開源策略引擎,它為業務和基礎設施授權提供了與域無關的獨立規則引擎。開發人員發現開放策略代理(OPA)非常適合Kubernetes,因為它的設計前提是有時組織需要基于任意JSON/YAML編寫和實施訪問控制策略(以及許多其他策略)。開放策略代理(OPA)作為一種政策規范工具,可以提高Kubernetes開發的速度和自動化程度,同時提高安全性并降低風險。

實際上,Kubernetes是開放策略代理(OPA)最受歡迎的用例之一。如果組織不想為Kubernetes編寫、支持和維護自定義代碼,則可以將開放策略代理(OPA)用作Kubernetes接納控制器,并充分利用其聲明性策略語言Rego。例如,組織可以采用所有Kubernetes訪問控制策略(通常存儲在Wiki和PDF中以及人們的頭腦中),并將它們轉換為策略即代碼。這些策略可以直接在集群上執行,并且在Kubernetes上運行應用程序的開發人員在工作時無需經常引用內部Wiki和PDF策略。這樣可以減少錯誤,并在開發過程的早期消除不利部署,所有這些都可以提高生產率。

開放策略代理(OPA)可以幫助解決Kubernetes獨特挑戰的另一種方法是使用場景感知策略。這些策略決定了Kubernetes會根據有關存在的所有其他Kubernetes資源的信息來決定資源的決策。例如,組織可能要避免意外創建一個使用同一入口竊取另一個應用程序的全球互聯網流量的應用程序。在這種情況下,組織可以創建一個策略“禁止主機名沖突的入口”,以要求將任何新入口與現有入口進行比較。更重要的是,開放策略代理(OPA)確保Kubernetes的配置和部署符合內部策略和外部監管要求,這對開發人員、運營和安全團隊來說都是雙贏的措施。

跨混合云保護Kubernetes

通常情況下,當人們說到“ Kubernetes”時,他們實際上是指在Kubernetes容器管理系統上運行的應用程序。這也是使用開放策略代理(OPA)的一種流行方式:讓開放策略代理(OPA)決定是否在應用程序內部授權微服務或最終用戶操作。因為涉及Kubernetes環境,開放策略代理(OPA)提供了一個完整的工具包,用于測試、試運行、調整以及將聲明性策略集成到任意數量的應用程序和基礎設施組件中。

實際上,開發人員經常擴大對開放策略代理(OPA)的使用,以在其所有Kubernetes集群中實施策略并提高安全性,尤其是在混合云環境中。為此,許多用戶還利用了Styra DAS,這有助于在運行前驗證開放策略代理(OPA)安全策略,以查看其影響,將其分發到任意數量的Kubernetes集群中,然后連續監視策略以確保它們具有預期的效果。

無論組織在云計算和容器旅程中的哪個地方, Kubernetes現在都是在生產中部署容器的標準。Kubernetes環境帶來了組織必須解決的新的獨特挑戰,以確保其云計算環境中的安全性和合規性,但是確實存在解決方案限制對基礎思維的需求。為了大規模地解決這些挑戰,開放策略代理(OPA)已經成為事實上的標準,可以通過自動策略執行來幫助組織降低風險并加快應用交付。
責編AJX

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 云計算
    +關注

    關注

    39

    文章

    7972

    瀏覽量

    139394
  • 容器
    +關注

    關注

    0

    文章

    507

    瀏覽量

    22370
  • kubernetes
    +關注

    關注

    0

    文章

    240

    瀏覽量

    8977
收藏 人收藏

    評論

    相關推薦
    熱點推薦

    Kubernetes Helm入門指南

    Helm 是 Kubernetes 的包管理工具,它允許開發者和系統管理員通過定義、打包和部署應用程序來簡化 Kubernetes 應用的管理工作。Helm 的出現是為了解決 Kuberne
    的頭像 發表于 04-30 13:42 ?1664次閱讀
    <b class='flag-5'>Kubernetes</b> Helm入門指南

    新唐科技微控制器觸控應用方面的優勢

    應用帶來創新解決方案。本次新聞稿將涵蓋更多產品系列和技術細節,更全面地展示 NuMicro 微控制器觸控應用方面的優勢。
    的頭像 發表于 02-27 15:52 ?655次閱讀

    如何解決高校宿舍用電浪費及管理方面的問題?

    為解決高校宿舍用電浪費及管理方面的問題,對高校宿舍用電現狀進行分析,并闡述節能背景下加強高校宿舍用電管理的重要意義,在此基礎上,提出用電改進措施和智慧監管平臺構建要點,以期為相關人員提供參考。
    的頭像 發表于 11-27 15:59 ?742次閱讀
    如何解決高校宿舍用電浪費及管理<b class='flag-5'>方面的</b>問題?

    AI環境可持續發展方面的作用

    近日,《聯合國氣候變化框架公約》締約方會議第二十九次會議(COP29)阿塞拜疆巴庫落下帷幕,與會者們齊聚于此,共同應對氣候變化。AI 環境可持續發展方面的作用成為了本屆大會關注的焦點。
    的頭像 發表于 11-27 11:24 ?697次閱讀

    UPS電源與EPS電源功能和應用方面的區別

    電子發燒友網站提供《UPS電源與EPS電源功能和應用方面的區別.pdf》資料免費下載
    發表于 10-31 10:17 ?7次下載

    大算力芯片面臨的技術挑戰和解決策略

    灣芯展SEMiBAY2024《HBM與存儲器技術與應用論壇》上,億鑄科技創始人、董事長兼CEO熊大鵬發表了題為《超越極限:大算力芯片面臨的技術挑戰和解決策略》的演講。
    的頭像 發表于 10-23 14:50 ?991次閱讀

    ADS856x SAR驅動電路的設計挑戰和改進技術

    電子發燒友網站提供《ADS856x SAR驅動電路的設計挑戰和改進技術.pdf》資料免費下載
    發表于 10-17 09:38 ?0次下載
    ADS856x SAR驅動電路的設計<b class='flag-5'>挑戰和</b>改進技術

    MCT8316A-設計挑戰和解決方案應用說明

    電子發燒友網站提供《MCT8316A-設計挑戰和解決方案應用說明.pdf》資料免費下載
    發表于 09-13 09:52 ?0次下載
    MCT8316A-設計<b class='flag-5'>挑戰和</b>解決方案應用說明

    MCF8316A-設計挑戰和解決方案應用說明

    電子發燒友網站提供《MCF8316A-設計挑戰和解決方案應用說明.pdf》資料免費下載
    發表于 09-13 09:51 ?4次下載
    MCF8316A-設計<b class='flag-5'>挑戰和</b>解決方案應用說明

    TMCS110x 布局挑戰和最佳實踐

    電子發燒友網站提供《TMCS110x 布局挑戰和最佳實踐.pdf》資料免費下載
    發表于 09-12 09:23 ?0次下載
    TMCS110x 布局<b class='flag-5'>挑戰和</b>最佳實踐

    微處理器人工智能方面的應用

    微處理器人工智能(AI)方面的應用日益廣泛且深入,成為了推動AI技術發展的重要力量。本文將從微處理器AI中的核心作用、具體應用案例、技術挑戰與解決方案、以及未來發展趨勢等多個
    的頭像 發表于 08-22 14:21 ?1487次閱讀

    光通信技術醫療健康方面的應用

    光通信技術醫療健康方面的應用是一個日益受到關注且快速發展的領域。隨著科技的進步,光通信技術以其高速、大容量、低損耗、抗干擾等優勢,醫療設備的研發、診斷、治療及健康管理等方面展現出了
    的頭像 發表于 08-09 16:19 ?1843次閱讀

    FPGA視頻編碼方面的應用有大佬做過嗎?

    有大佬做過FPGA視頻編碼方面的應用嗎?有沒有芯片的推薦?或者了解的路線?
    發表于 07-29 15:37

    大數據軍事方面的應用

    智慧華盛恒輝大數據軍事方面的應用廣泛且深入,涵蓋了戰爭決策、情報分析、裝備研發、后勤保障、科研方法、管理水平、作戰能力和信息化建設等多個方面。以下是對這些應用的詳細歸納: 智慧華盛恒輝一、戰爭決策
    的頭像 發表于 07-16 09:44 ?1677次閱讀

    大數據軍事方面的應用有哪些

    智慧華盛恒輝大數據軍事方面的應用涵蓋了多個方面,這些應用不僅提高了軍事管理的效率和水平,也極大地提升了軍隊的作戰能力和情報獲取能力。以下是大數據軍事
    的頭像 發表于 06-23 10:34 ?1672次閱讀