阿里云云原生开源开发者沙龙 -零信任策略下K8s安全监控最佳实践.docx

零信任策略下K8s安全监控最佳实践

孙玉梅

阿里云技术专家

2024/04/13

CONTENT01云原生安全架构体系概述

目录

02典型的K8s安全监控场景

03安全数据监控最佳实践

04K8s安全监控展望

01云原生安全架构体系概述

业务数字化背景下企业IT变化趋势

体验是关键竞争力运维数据多样化基础设施与架构在革新

体验是关键竞争力

运维数据多样化

运维依赖的数据容量、种类、可变性在增加1%的延迟增加，带来

运维依赖的数据

容量、种类、可变性在增加

1%的延迟增加，带来

7%的用户流失

容器化，微服务，DevOps，SecOps

Source:AberdeenGroup

分布式复杂性访问控制

分布式

复杂性

访问控制

业务数字化下K8s安全监控特点

安全漏洞

安全漏洞

K8s及运行在其上的应用可能包含安全漏洞。需持续

K8s及运行在其上的应用可能包含安全漏洞。需持续

的安全监控和漏洞扫描。

K8s的架构和组件相对复杂，包括多个层次和模块

监控复杂度增大。

是混合云环境工作。

多租户场景下访问控制与权限管理。K8s环境产生大量日志数据，需集中分析并审计集

多租户场景下访问控制与权限管理。

群变更，预防安全风险

日志审计

日志审计

K8s安全体系

.

.访问所有资源必须认证、授

权、加密

.细粒度访问控制，最小化授

权

.持续监控，自适应、动态策

略，运行时防护

安全合规，基于角色的认证、访问控制，审计，

RAM联合认证和细粒度授权

可信软件供应链

基础架构安全

运行时安全

静态数据加密

运行时防护

DevSecOps

运行时监控

镜像安全

镜像扫描

网络安全

KMS集成

专有云

公有云

02典型的K8s安全监控场景

Logs/MetricsProcessExecutionKprobeEvent

Logs/Metrics

Process

Execution

Kprobe

Event

Uprobe

Event

Metrics

安全场景-K8s运行时监控

K8sUserSpace

policy

eBPF

eBPFProgram

RuleEngine

Output

FileAccessNamespaceKernel

FileAccess

Namespace

Systemcalls

TCP/IP

Network

KernelRuntime

StackRingBuffer

Stack

Ring

SecurityNetworkingProcessexecve()Syscall

Security

Networking

Process

execve()

Syscall

Scheduler

安全场景-K8s运行时监控

eBPF技术：

网络安全

网络安全

可观测性

可观测性

安全策略

安全策略

安全防护

安全防护

Observability

UserSpaceKernel

User

Space

Kernel

TracingProfilingApplicationMonitoring

Tracing

Profiling

Application

KernelRuntime

syscall

syscallentry

syscallhandling

syscallhandling

syscall

syscallexit

用户空间规则引擎PodSIGKILL

用户空间

规则引擎

Pod

SIGKILL

安全场景-K8s运行时防护

Kernel

漏洞攻击

异步通知

kernel

kernel

probe

SIGKILL

安全场景-K8s集群审计监控

APIserver：K8s集群资源变更、查询的入

口。

审计日志：

?记录集群所有安全相关的时序操作记录。

?追溯集群状态变更；了解集群运行状况；发现集群潜在安全、性能风险等。

K8sEvent

?记录集群内发生的状态变更。

?集群异常“吹哨人”。

NPD加持

?K8s节点诊断的工具。

?将节点的异常转换为Node的事件。

安全场景-K8sEvent

安全场景-Ingress访问监控

Ingress：K8s负载均衡、流量入口。

安全监控场景：

?网络监控：网络连接、流量控制、请求延迟

?配置监控：版本管理、变更记录、配置信息

?可用性监控：健康状态、故障检测、容错能力

?安全监控：安全漏洞、入侵事件

?日志/指标/事件?容器内/宿主机文本文件?标准输出/标准错误

?日志/指标/事件

?容器内/宿主机文本文件

?标准输出/标准错误