Kubernetes 正在暴露内在弱点

近日,在美国华盛顿特区举行的 ShmooCon 上,NCC Group 技术总监 Mark Manning 作了一场有关渗透测试人员使用 Kubernetes 的演讲。

他指出,如今 85% 的客户都在部署容器,《财富》500 强中有一半巨头目前都在生产中使用容器,在这样的背景下,由 Kubernetes 配置引起的安全漏洞不容忽视。

Kubernetes 本身具备潜在安全问题

在默认设置下,Kubernetes 可以说是一个不安全的平台,如果企业只是 Kubernetes 中获取代码并将其部署到自己的环境中,那这些默认设置本身就会生成很多安全漏洞。因此现在很多企业会找第三方服务商提供定制化解决方案。

容器间的隔离被弱化

Mark Manning 团队曾使用标准 Kubernetes 工具(例如 kubectl 和 cURL)“攻击容器”。当他们攻击成功后,攻击者可以访问 Pod 中的多个容器,并同时对多个应用程序造成影响。因此当使用 Kubernetes 后,原本容器对应用程序的分隔作用被削弱了。

源于设计理念的潜在风险

为了让管理员可以更轻松地快速创建、管理容器和 Pod,Kubernetes 牺牲了一定的安全性。这种设计背后的风险是加密货币矿工不需要用零时差攻击就可以攻击不受保护的 Pod。

中国民生银行的 Kubernetes 之旅

中国民生银行是中国大陆第一家由民间资本设立的全国性股份制商业银行,“开拓”一直是该银行的企业文化之一。

过去,民生银行的核心银行系统、支付系统和渠道系统等都是使用传统架构以 C 和 Java 编写的,随着企业发展,数据中心和虚拟机正愈发暴露出成本过高和资源利用率低的问题。

为采用分布式架构缓解这一问题,同时让传统遗留应用程序适应云原生环境,从 2019 年年初起,民生银行选取 Kubernetes 作为构建云原生环境的关键。

到目前为止,民生银行约有 20 个应用跑在其 Kubernetes 平台上,他们基于这个平台还正在开发另外 30 个新应用,其中包括人工智能、区块链和大数据分析等应用程序。

上线 Kubernetes 平台后,民生银行的开发、运营和维护效率提高了 3 倍,CPU 和内存等资源的利用率也提高了一倍以上,应用部署时间从数小时减少到了几分钟。

2019 年全球云市场份额

上周,研究公司 Canalys 发布最新全球云计算市场数据,指出 2019 年全球云计算支出猛增 37.6%,达到破纪录的 1071 亿美元。

以下是报告给出的年度排名数据:

  • 亚马逊继续主导市场,AWS 在全球约占 32.4% 的市场份额,排名第一;
  • 微软紧随其后,Azure 占据 17.6% 的市场份额,收入首次超过 AWS 的一半,市场占比和增速均排名第二;
  • 谷歌云以 6% 的市场份额位居第三,但它猛增惊人,达到 87.8%;
  • 阿里巴巴排名第四,阿里云依靠在中国和亚太地区的强大实力占据 5.4% 的全球市场份额。

Canalys 首席分析师 Matthew Ball 在报告中指出,对云服务需求的增长也带动了数据中心基础设施的支出,包括阿里巴巴、亚马逊、百度、Facebook、谷歌、微软和腾讯在内,这七大巨头 2019 年在数据中心上投入的资金总额超过 600 亿美元,比上一年增长 8%。

随着越来越多企业开始使用云基础架构扩展现有应用程序,Canalys 认为全球云计算市场的繁荣趋势将在未来五年内继续保持,预计到 2024 年,全球云基础设施服务的总支出将达到 2840 亿美元。

HPE 收购 Scytale

上周,HPE 宣布收购云安全创业公司 Scytale,后者旨在帮助企业的安全工程团队跨云、容器和本地基础架构实现服务验证的标准化,推动加速服务验证。

Scytale 的创始人是一群来自于 AWS、Duo Security、Google 等云原生企业的资深工程师。这一团队中的云原生安全及零信任网络领域的专家也被公认是 SPIFFE(通用安全身份框架)与 SPIRE(SPIFFE 运行时环境)云原生计算基金会开源项目的创始贡献人。

随着有越来越多的组织拥抱混合云、多云、容器及边缘运算,零信任的价值愈趋明显。在云端分散式微服务架构中,组件之间的通信需要一个机制来验证各种信息的真实性,而 SPIFFE 与 SPIRE 正是为云端及基于容器的微服务打造服务身份认证能力的两个项目。

作为收购的一部分,HPE 承诺将全力支持 Scytale 对于 SPIFFE 和 SPIRE 的管理和贡献,这些项目也将在 HPE 的计划中发挥重要作用,最终交付动态、开放和安全的从边缘到云的平台。

博客:Kubernetes 企业落地实践

这篇博客从 DevOps 角度分享了 4 个企业应用 Kubernetes 的成功实践:

  • 北欧银行应用 Lunar Way 如何在生产环境中使用 Kubernetes;
  • 短租平台 Airbnb 如何简化 1000 位工程师的 Kubernetes 工作流程;
  • 电商平台 eBay 为什么选择 Kubernetes;
  • 航空公司订位系统企业 Amadeus 为什么想将所有生产工作负载迁移到 Kubernetes?

itnext.io/successful-short-kubernetes-stories-for-devops-architects-677f8bfed803

本周开源项目推荐

vim-helm

  • github.com/towolf/vim-helm
  • Helm templates 的 vim 语法(yaml+gotmpl+sprig+custom)

kubectl-tree

  • github.com/ahmetb/kubectl-tree
  • 一个 kubectl 插件,用于通过 ownerReferences 上的对象探索 Kubernetes 对象之间的所有权关系

Kubetools

  • dockerlabs.collabnix.com/kubernetes/kubetools
  • Kubernetes 工具精选清单,涵盖最流行的工具和技术,并针对这些工具提出最佳实践

suspicious-pods

  • github.com/edrevo/suspicious-pods
  • 列出 Kubernetes 集群中可能无法正常工作的 Pod 列表,附带原因

hubble

  • github.com/cilium/hubble
  • 一个用于云原生工作负载的完全分布式的网络和安全性可观察性平台

kubeform

  • github.com/kubeform/kubeform
  • 为 Terraform 资源和模块提供自动生成的 Kubernetes CRD,方便用户以 Kubernetes 原生的方式管理任何云基础架构

更多资讯、技术博客,欢迎关注 K8sMeetup 中国社区公众号!