Tags:

Những cách bảo mật Kubernetes dành cho các doanh nghiệp

Kubernetes là một nền tảng mã nguồn mở giúp mở rộng và phát triển ứng dụng một cách hiệu quả và nhanh chóng đang ngày càng phổ biến. Tuy nhiên, trong những năm gần đây, không ít các doanh nghiệp phải đau đầu khi hệ thống Kubernetes xuất hiện các lỗ hổng bảo mật và bị tấn công bởi các phần mềm độc hại. 

Chính vì vậy, để có thể giảm thiểu một cách tối đa những sự cố, Bizfly Cloud sẽ chia sẻ đến bạn các cách bảo mật Kubernetes hiệu quả trong bài viết dưới đây nhé!

Cách bảo mật kubernetes ảnh 1

Nâng cấp lên phiên bản mới nhất 

Không chỉ là sửa lỗi, việc nâng cấp các tính năng bảo mật mới trong mỗi phiên bản mới được cập nhật hàng quý còn giúp mang lại lợi thế cho doanh nghiệp trong việc ổn định hệ thống. 

Khi bạn phát hiện ra lỗ hổng CVE-2018-1002105 thì bạn phải nhanh chóng chạy bản phát hành mới nhất với những bản vá gần nhất. Tuy nhiên, nếu thất bại thì việc nâng cấp có thể trở nên khó khăn hơn. 

Vì vậy, bạn nên tìm đến Bizfly Cloud – nhà cung cấp dịch vụ Kubernetes thường xuyên hỗ trợ cập nhật phiên bản mới với đội ngũ chuyên gia tại Việt Nam có trình độ kỹ thuật cao và dày dạn kinh nghiệm luôn sẵn sàng hỗ trợ nâng cấp hệ thống Kubernetes của bạn mọi lúc mọi nơi một cách nhanh chóng và dễ dàng.

  Cách bảo mật kubernetes ảnh 2

Kích hoạt điều khiển truy cập trên cơ sở vai trò 

Các doanh nghiệp có thể kích hoạt Điều khiển truy cập trên cơ sở vai trò RBAC để kiểm soát được người truy cập và quyền truy cập Kubernetes. RBAC thường được bật mặc định trên phiên bản Kubernetes 1.6 trở lên. Nếu đã nâng cấp mà cấu hình chưa đổi thì bạn cần phải kiểm tra lại cài đặt của mình bởi để kết hợp các bộ điều khiển uỷ quyền Kubernetes thì bắt buộc vừa phải vô hiệu hoá Điều khiển truy cập trên cơ sở thuộc tính kế thừa vừa phải bật RBAC. 

Khi RBAC đi vào hoạt động, bạn nên tránh cấp quyền Cluster-wide để có lợi hơn có các quyền namespace. Và hệ thống Kubernetes cũng trở nên an toàn hơn khi bạn chỉ cấp quyền quản trị viên cluster cho từng trường hợp cụ thể khi cần thiết.

Sử dụng Namespace để thiết lập ranh giới bảo mật 

Một trong những cách bảo mật Kubernetes hiệu quả mà bạn có thể sử dụng chính là sử dụng Namespace để cô lập và thiết lập ranh giới bảo mật giữa các thành phần. Khi các loại workloads khác nhau được triển khai trong từng Namespace riêng biệt thì việc áp dụng các kiểm soát bảo mật như Network Policies sẽ trở nên dễ dàng hơn nhiều.

Chạy chính sách bảo mật Cluster-wide Pod 

Chính sách bảo mật Cluster-wide Pod đặt mặc định cho các workloads được phép chạy trong cluster. Bên cạnh đó, bạn cần xác định và xem xét các chính sách, kích hoạt trình điều khiển cung cấp chính sách bảo mật Pod với các hướng dần khác nhau phụ thuộc vào mô hình triển khai hoặc các nhà cung cấp cloud. 

Ngoài ra, bạn có thể phá huỷ các lớp tấn công giả mạo Network bằng cách yêu cầu triển khai giảm khả năng NET_RAW ngay khi khởi động.

Cách bảo mật kubernetes ảnh 3

Bảo mật Harden Node 

Để có thể cải thiện được các đặc điểm bảo mật trên Node, bạn có thể thực hiện theo 3 bước sau:

  • Kiểm tra cấu hình dựa trên tiêu chuẩn CIS Benchmarks hoặc các sản phẩm chứa tính năng autochecker đánh giá tự động để đảm bảo tính bảo mật và cấu hình chính xác cho máy chủ.
  • Kiểm soát các truy cập network vào các ports nhạy cảm để đảm bảo network có khả năng ngăn chặn các truy cập độc hại như 10255 và 10250 vào ports.
  • Giảm thiểu một cách tối đa các quyền truy cập quản trị vào Kubernetes nodes kể cả việc gỡ lỗi hay xử lý các tác vụ khác.

Bật Audit Logging 

Bạn phải chắc chắn rằng hệ thống Kubernetes của mình phải được kích hoạt Audit Logging và có thể theo dõi để loại bỏ các cuộc gọi bất thường, không mong muốn hoặc các lỗi uỷ quyền được thông báo là “Forbidden” trong mục nhật ký. Bởi các lỗi uỷ quyền có thể là những lỗ hổng mà những kẻ tấn công lạm dụng để đánh cắp thông tin.

Hy vọng, qua bài viết mà Bizfly Cloud chia sẻ, bạn đã có thể nắm rõ được một cách chi tiết những cách bảo mật Kubernetes nói trên để tránh bị tấn công và mất đi những dữ liệu quan trọng của doanh nghiệp bởi nó ảnh hưởng rất lớn đến công việc kinh doanh của bạn.

BizFly Cloud – Cung cấp dịch vụ điện toán đám mây tốt nhất tại Việt Nam

Vận hành bởi VCcorp

Địa chỉ: Số 1 Nguyễn Huy Tưởng, P. Thanh Xuân Trung, Q. Thanh Xuân, TP Hà Nội.

Google map: https://goo.gl/maps/CUqazfqqgd5w4HSh6

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x