容器安全性

確保 GCP 上的容器環境安全性。

總覽

容器化可讓開發團隊快速作業、有效率地部署軟體,並以前所未有的規模運作。由於企業建立的容器化工作負載逐漸增加,建構與部署生命週期的每個階段也必須整合安全性措施。本文將為您介紹如何在 GCP 上針對三大重要領域確保容器環境的安全性。

基礎架構安全性

具備基礎架構安全性,代表您的容器管理平台提供適當的安全性功能。Kubernetes 擁有多項安全性功能,可協助保護您的身分資訊、密鑰和網路;此外,Kubernetes Engine 採用 Cloud IAM、Cloud 稽核記錄和虛擬私人雲端等 GCP 原生功能,可為您的工作負載提供最完善的 Google 安全防護。

軟體供應鏈

確保軟體供應鏈的安全性,就能安全部署容器映像檔。這樣一來,您就能確定容器映像檔沒有安全漏洞,而您建立的映像檔在部署前也沒有遭到修改。

執行階段安全性

執行階段安全性功能可協助您在實際工作環境找出執行惡意動作的容器,並採取必要處置來保護您的工作負載。

執行容器可供您使用完全不同的安全性模型

輕鬆管理修補程式及維持不變性

輕鬆管理修補程式及維持不變性

一般來說,容器無法變更,所以您必須部署新的映像檔才能加以變更。只要定期重新建立映像檔,您就可以簡化修補程式管理流程,下次部署容器時也能直接納入修補程式。此外,您還可以透過定期的映像檔安全性審查,完整瞭解環境的安全程度。

減少攻擊風險

減少受攻擊的風險

容器執行所需的主機 OS 比 VM 來得小,因為許多功能已經內建在應用程式當中。將主機 OS 的需求降到最低限度,可減少工作負載經由主機 OS 遭到攻擊的機會。

隔離資源與工作負載

隔離資源與工作負載

容器可讓您輕鬆透過 cgroups 和命名空間,將各項資源 (如儲存空間磁碟區) 隔離於特定流程。透過 GKE Sandbox,您就能以邏輯方式將工作負載隔離在子 VM 的沙箱中,與其他應用程式區隔。

基礎架構安全性

容器基礎架構安全性可確保您的開發人員能取得安全建構容器化服務所需的工具。這類功能一般都已內建在容器自動化調度管理服務中,例如 Kubernetes。如果您是使用 Kubernetes Engine,系統會自動顯示這項功能以及其他 Google Cloud 功能。

身分識別與授權

您可以在 Kubernetes Engine 中使用 Cloud IAM 管理專案存取權,並使用角色型存取權控管 (RBAC) 功能管理叢集和命名空間的存取權。

稽核記錄

在 Kubernetes 中,系統會自動擷取 API 稽核記錄。而在 Kubernetes Engine 中,Cloud 稽核記錄會自動為您建立 API 稽核記錄。

網路

您可以在 Kubernetes Engine 中建立網路政策,藉此管理叢集中的 pod 對 pod 通訊。您可以針對私人 IP 使用私人叢集,並將 Kubernetes Engine 資源分配至共用虛擬私人雲端

法規遵循

Kubernetes Engine 通過多項法規遵循認證,包括 ISO 27001、ISO 27017、ISO 27108、《健康保險流通與責任法案》(HIPAA) 和支付卡產業資料安全標準 (PCI-DSS)。

主機 OS 最小化

Kubernetes Engine 預設採用 Container-Optimized OS (COS),是專門針對容器執行需求而打造並最佳化的 OS。COS 由 Google 維護,且採取開放原始碼的形式。

最新元件

Kubernetes Engine 會自動將主要執行個體修補到最新的 Kubernetes 版本,您可以針對節點使用節點自動更新功能

軟體供應鏈

軟體供應鏈可讓您掌握環境中部署的一切,從程式碼、映像檔到部署作業,您可以完整控管自己的應用程式。這些功能一般都已內建於您的持續整合/持續推送軟體更新管道和容器登錄檔 (例如 Google Container Registry),並可在您將容器正式部署到實際工作環境前進行檢查。

確保基本映像檔安全性

Google Container Registry 提供 DebianUbuntu 基本映像檔,Google 會定期進行修補和測試作業來維護這兩種映像檔。

安全漏洞掃描

Google Container Registry 提供安全漏洞掃描功能,可確認您的映像檔和套件是否含有 CVE 資料庫中的已知安全漏洞。

部署政策

您可以在 Kubernetes Engine 上使用二進位授權,根據映像檔的認證來限制您在環境中的部署作業。

定期更新版本

您可以定期重建及重新部署容器,取得作業環境中逐步推出的最新修補程式,以享有完善的安全性和功能。

執行階段安全性

有了容器執行階段安全性機制,安全性問題應變小組就能針對在作業環境中執行的容器偵測安全性威脅,並採取相關處置。這類功能一般都已內建在您的安全性作業工具中。

監控

Kubernetes Engine 已與 Stackdriver 整合,提供簡便的記錄分析功能。您也可以將安全性事件寫入 Cloud Security Command Center (Cloud SCC)。

異常活動偵測功能

您可以在 Cloud SCC 中運用 Google 合作夥伴提供的服務來監控攻擊活動及查看結果。Aqua SecurityCapsule8StackRoxSysdig SecureTwistlock 都是我們的合作夥伴。

隔離

這項功能可避免惡意容器影響其他容器。您可以使用以 gVisor 打造的原生容器執行階段沙箱 GKE Sandbox,提供更完善的容器安全隔離機制。

資源

進一步瞭解容器安全性的相關資訊。

Google Cloud

開始使用

瞭解詳情並著手實作

第一次使用 GCP 嗎?我們提供您 $300 美元的抵免額,歡迎免費體驗 GCP 產品。

需要進一步協助嗎?

我們的專家會協助您打造合適的解決方案,或是為您找到符合需求的合作夥伴。