本文转载自微信公众号「 新钛云服 」,作者乔冰诚 翻译。转载本文请联系 新钛云服 公众号。
保护云工作负载在多云环境中变得更加复杂,原因有三点。首先,安全功能因提供程序而异。例如,Azure Sentinel与AWS CloudTrail不同。
其次,实施安全策略(例如如何访问日志,记录什么类型的数据或门户网站对资源的管理访问权限)在提供商之间有所不同。
第三,运营安全任务也取决于提供商,并要考虑服务产品中的细微差别。因此,当工作负载直接使用基础安全服务时,可能会发生锁定。
为减少这些挑战,IT领导者可将业务流程纳入组织的多云策略中。Kubernetes是一种流行的开源容器编排系统,可用于管理云工作负载,并在云提供商的本机安全服务与其客户的安全策略目标之间提供抽象层。
在某些情况下,多云编排工具还可以通过在访问和使用安全服务的方式上实施标准化来减少锁定。
另外,在适当的情况下,这些用例中的每一个都具有潜在的安全益处。在这里,了解Kubernetes如何为多云安全规划增加价值,以及如何评估和选择正确的部署选项。
Kubernetes在多云环境中的安全优势
Kubernetes安全价值主张的基础来自其作为自动执行常见管理挑战的框架的功能。例如,在部署VM或应用程序容器时,业务流程管理置备,取消置备和按需资源扩展,以及工作负载先决条件和依存关系,例如机密管理。
要了解Kubernetes对于多云架构的价值,请考虑商店信用卡和银行信用卡之间的区别。商店卡可提供其他功能,例如增加折扣和会员计划,但仅限于一家商店。或者,普通卡使持卡人可以在任何地方购物,但无法获得部分或全部额外利益。
编排提供程序在其产品中包含一些安全性至关重要的元素,例如,对存储的机密信息实施适当的机密性,确保对机密信息和工作负载的访问控制适当,并验证是否为新的工作负载配置了适当的配置。
编排平台的内置安全功能为组织提供了云提供商本机功能的替代方案,更重要的是,编排平台可以理解的功能为组织提供了替代方案。这减少了供应商锁定,因为未直接调用提供程序的本机安全服务。
在大多数情况下,组织可以重新部署基础架构,而不必重新实现基础服务,而是可以移至其他提供商的实现。因此,可以按需要以工作负载不可见的方式换出基础实现。
同样,如果工作负载移动,则可以轻松地将支持直接与业务流程平台进行交互的自动化支持,度量标准和自定义工具重定向到其他环境,前提是这些功能受平台本地支持。
如何在多云架构中部署Kubernetes
在决定使业务流程适应其多云安全策略时,组织需要建立最佳方法。这涉及三个主要步骤:定义范围,了解部署选项和选择部署模型。
定义范围
首先,确定多云编排工具用例-例如:
一个与许多云托管环境对比。组织是否需要仅支持一个提供商或在不同提供商处提供多种服务? 混合环境。本地和托管云环境都需要支持吗? 混合容器和VM环境。是用于VM和容器的相同编排服务,还是仅用于两者之一?
了解部署选项
定义范围后,IT主管需要确定适合组织需求和用例的正确部署模型。比较三个主要的部署模型-托管的Kubernetes服务,开源模型和自己构建的模型-以及每个模型的功能,然后再做出决定。
1. 托管的Kubernetes服务。 许多公共云提供商在其服务集中提供了Kubernetes编排功能,包括Amazon Elastic Kubernetes服务(EKS),Azure Kubernetes服务(AKS)和Google Kubernetes Engine(GKE)。
这些使组织能够使用即服务型方法直接将其配置到他们的服务中,从而减轻了内部设置和配置Kubernetes的负担。
2.开源。Kubernetes Operations(kOps)等开放源代码选项以及与之对应的商业选项使组织能够将工作负载供应自动化到云环境中。
诸如AWS Fargate之类的工具可以跨云托管平台工作,也可以在虚拟私有云或内部部署到本地Kubernetes部署中。
3. 自己动手。组织可以将编排软件自己部署到提供商的弹性计算环境中。
选择部署模型
在保护多云的正确部署选项上达成共识将取决于组织的目标,环境和安全性目标。
托管的Kubernetes服务(例如EKS,AKS和GKE)可实现快速部署。使用幕后的标准化编排机制,这些服务可促进提供程序之间工作负载的可移植性,但在某种程度上会锁定供应商,这通常是因为云服务提供程序将基础工具包装在唯一的管理界面中。
这可以使习惯于云提供商的管理UI和安全模型的安全运营人员受益,但是当试图对来自不同提供商的多个竞争服务之间的管理视图进行标准化时,这种方法就不是最佳选择。
与云无关的选项(例如kOps和商业选项)可以弥补多云环境中托管的Kubernetes服务的某些缺点。但是请记住将支持哪些提供程序和哪些服务。
目前,kOps支持AWS,beta形式的Google Compute Engine和alpha形式的Azure。IT领导者需要仔细评估建议的使用情况,以确保根据组织的服务提供商使用情况配置文件支持所选工具。
自己动手选件可提供最大程度的灵活性,因为任何定制开发的工具都将具有最大的便携性。这种方法的缺点是,它需要更多的经验,对平台的敏锐度以及部署和维护该平台的运营人员的时间投入。
归结为,针对任何特定组织的正确决策将根据其要求和用途而有所不同。与其他任何计划任务一样,请提前了解这些需求是什么,并根据部署选项系统地对其进行分析,以找到最佳方法。
原文链接:https://searchcloudsecurity.techtarget.com/tip/Implement-Kubernetes-for-multi-cloud-architecture-security