Kubernetes(K8s)之所以成为世界领先的容器编排平台是有原因的,调查表明如今有74%的IT公司将其用于生产中的容器化工作负载。它通常是大规模处理容器配置、部署和管理的最简单方法。但是,尽管Kubernetes让容器的使用变得更容易,但在安全性方面也增加了复杂性。
Kubernetes的默认配置并不总是为部署的所有工作负载和微服务提供最佳的安全性。此外,企业如今不仅要负责保护其运营环境免受恶意网络攻击,还要满足各种合规性要求。
合规性已经成为确保业务连续性、防止声誉受损以及确定每个应用程序的风险级别的关键因素。合规性框架旨在通过轻松监控、团队级别的问责制以及漏洞评估来解决安全和隐私问题——所有这些都在Kubernetes环境中提出了独特的挑战。
为了完全保护Kubernetes,需要采用多管齐下的方法:干净的代码、完全的可观察性、防止与不受信任的服务交换信息以及数字签名;还必须考虑网络、供应链和持续集成(CI)/持续交付(CD)管道安全、资源保护、架构最佳实践、机密管理和保护、漏洞扫描和容器运行时保护。合规性框架可以帮助企业系统地管理所有这些复杂性。
以下了解五个主要安全框架以及它们如何帮助企业更安全地使用Kubernetes。
1. 互联网安全中心(CIS)Kubernetes基准
互联网安全中心(CIS)是一家历史悠久的全球安全组织,已将其Kubernetes基准创建为一个“客观、共识驱动的安全指南”,为集群组件配置提供行业标准建议,并强化Kubernetes安全态势。等级1建议实施起来相对简单,同时提供主要好处,通常不会影响业务功能。等级2或“深度防御”建议适用于需要更全面战略的关键任务环境。
互联网安全中心(CIS)还提供确保集群资源符合基准并为不合规组件生成警报的工具。互联网安全中心(CIS)框架适用于所有Kubernetes发行版。
2. Kubernetes的NIST应用容器安全
美国政府的国家标准与技术研究院(NIST)提供了专门的应用程序容器安全指南,作为其自愿框架的一部分。该指南重点介绍了Kubernetes环境的安全挑战,其中包括映像、注册表、编排器、容器和主机操作系统,并基于最佳实践提供了对策。
例如,NIST建议利用Kubernetes(或其他协调器)提供敏感信息的原生管理能力,在运行时安全地将此数据供应到Web应用程序容器中,同时确保只有Web应用程序容器才能访问这些敏感信息,并且该数据不会持久保存到磁盘。
3. NSA和CISA的Kubernetes强化指南
美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)最近发布了他们的Kubernetes强化指南,其中描述并详细说明了对Kubernetes集群的特定威胁,并在五个关键领域提供了强化指南:
该报告强调了供应链风险中的危害,来自恶意行为者和基础设施级别的内部威胁,识别常见漏洞,并推荐最佳实践以避免错误配置。
4. Kubernetes的MITREATT&CK®矩阵
Kubernetes的威胁矩阵由广受认可的MITREATT&CK(对抗性策略、技术和常识)矩阵发展而来,它采用了一种以当今领先的网络威胁和黑客技术为基础的不同方法。
该矩阵用于在对手的攻击生命周期内以及在常见目标平台上进行威胁建模,同时提供危害指标和攻击指标。对抗性方法使所有安全和渗透团队能够构建强大的威胁建模,并对网络攻击做出更全面的响应。
5. Kubernetes的PCIDSS合规性
支付卡行业数据安全标准(PCIDSS)是存储、处理或传输支付卡数据的每个企业所需的一组强制性技术和操作要求。其核心原则是对持卡人数据的存储和处理环境进行细分。在Kubernetes中,这是使用逻辑、网络和服务等级分段来完成的。
虽然核心PCIDSS标准中没有直接涉及容器和微服务,但云计算指南补充提供了容器编排指南。
在Kubernetes中,开源包装、容器寿命、蔓延和连接性的某些属性都使PCIDSS合规性变得复杂。此外,在处理交易时,容器与平台上的其他几个组件进行通信。
例如,如果企业有一个或多个容器在一个或多个专用Kubernetes 服务器 中运行,则有责任确保范围、分段和验证以及客户数据之间的隔离满足PCIDSS要求。
总结
Kubernetes带来了巨大的好处,例如速度和敏捷性。遵守在这里探讨的框架有助于最大程度地减少伴随而来的任何风险。指导企业的团队采用行业最佳实践至关重要,采用一个或多个这些框架通常是标准化漏洞评估和持续安全的最佳方式。
虽然合规性可能需要开展一些前期工作,但在弹性和长期业务连续性方面的回报将是值得的。在许多情况下,企业也会发现一些附带好处,例如优化、消除低效流程和服务。从长远来看,这可能会节省成本,并减轻团队的管理负担,同时全面保护Kubernetes环境,并确保实现最佳实践的合规性。
求会计继续教育考试行政事业单位内部控制答案
一、1、错误 2、正确 3、错误4、错误 5.错误6.错误7、错误8、错误9、错误10、错误
二、1~10、ACBDCBDCCB
三、1ABC 2CDB 3BD 4ACD 5ABCD
SDWAN如何组网?sdwan组网方案是什么意思?
不断增加的云工作负载、更多的边缘自动化解决方案、远程用户、物联网设备以及更多的计算意味着企业未来将更加依赖互联网。
通过访问管理软件和自动化,确保不会发生违规行为,尤其是当特权用户(例如 IT 管理员)受到自动化支持时,包括生成密码和创建活动记录的密码控制器可用于加强合规性,尤其是在高度监管的行业中。
SD-WAN 支持在特定于 WAN 的 SDN-NFV 基础设施上实现平面及其功能的新实施,为企业网络运营团队和托管服务提供商提供附加功能,包括多租户(VRF 和路由)、零接触配置、覆盖、动态隧道、WAN 优化、自动带宽检测和服务链。
SD-WAN 将广域网的数据和控制平面分离,监控 WAN 数据连接(互联网、带有 IP 覆盖的互联网、MPLS、ATM)的混合性能,并为每种流量类型选择最合适的连接,基于当前链路性能、连接成本以及应用程序或服务的需求。
SD-WAN 采用多种传输服务(包括公共互联网),它们当然可以灵活、高效且具有成本效益,而且随着覆盖创新者证明它们可以提供高速、安全访问,利用公共互联网——这一趋势现在是不可避免的。
SD-WAN 迁移背后的动机非常合理:降低成本、提高敏捷性、建立灵活性,一些专家现在表示可能是完全跳过 SD-WAN 并直接转向零信任框架的时候了。
如何建立有效的人力资源共享服务中心?
关于人力资源共享服务中心人力资源共享服务中心(HRSSC)是指企业集团将各业务单元所有与人力资源管理有关的行政事务性工作(如员工招聘、薪酬福利核算与发放、社会保险管理、人事档案人事信息服务管理、劳动合同管理、新员工培训、员工投诉与建议处理、咨询与专家服务等)集中起来,建立一个服务中心。 通过人力资源的共享服务中心的建立提高人力资源的运营效率,更好的服务业务单元。 而企业的人力资源部门则专注于战略性人力资源管理的实施,使人力资源管理实现战略转型。 人力资源共享服务中心是一种新的管理模式,它是一个独立运作的运营实体,引入了市场运作机制,却为企业内部服务。 它通过服务创造价值,它的本质是由信息及网络技术推动的运作管理模式的变革和创新。 人力资源共享服务中心的价值人力资源共享服务中心的终极意义在于帮助企业人力资源管理实现有效转型(如下图:人力资源职能转型)。 人力资源职能转型(HR Transformation)是给人力资源职能注入新的活力或者脱胎换骨的过程,其目的旨在提高人力资源对业务的贡献。 尽管人力资源管理者越来越被认为是战略业务合作伙伴,但人力资源大量的时间仍花费在一些诸如记录、合规和提供服务之类的传统人力资源工作上。 通过共享服务中心的设计与搭建,企业可以实现:服务集中化,降低人力资源运营成本服务的专业化与标准化,改善人力资源服务质量将人力资源工作重点关注与战略性人力资源管理角色有利于人力资源业务的审计与监控人力资源服务模式选择的体系框架要获得一个最合适的模式,就要扩大决策的标准,选择一系列的可选模式而非单一的关键决策点。 服务模式的选择必须被视为一个状态连续演进的系统来考虑而不是对一系列单独状态的分析;人力资源服务模式的选择-连续体在一个组织内,集权或者分权的程度通常反映出一个最适合业务需求的服务模式。 另外,对于一个特定的组织而言,在这个连续体系内选择正确的目标定位应该受其特有的业务、文化和运营环境约束。 连续体系中的共享服务模式状态并不适合于所有组织。 共享服务交付连续体系提供了不同的目标的选择范围。 理想情况下,一个组织应确定其当前在连续体系内的位置,然后设法沿着连续体系达到能够满足业务和人力资源需求的最适合的点。 确定在连续体系中的最佳定位简单而言,组织需要做3个关键的决策:是否启动? 何处着手?以及何处停止?显然,这是由组织的特性而定。 下图(人力资源服务模式的选择-影响因素)阐述了影响决定的最主要的驱动因素。 财务是决定是否启动的关键因素;服务的需求决定了开发的深度。 不过最终还是由组织的环境和文化以及人的因素决定了组织应该或者是能够走多远。 人力资源服务模式的选择-影响因素案例分享以下三家公司进行了对其而言意义重大的行动。 这些案例表明了不同的因素扮演怎样的角色以及组织如何根据每个组织独特的业务环境判断这些因素,从而形成了不同的定位。 这里不存在所谓“正确”的答案,只是从一系列重要的选择和考虑中达到最佳的配合的结果案例1:一家在欧洲拥有近8000名员工的本土科技型企业该公司发展快速并且存在着超过1000条不同的人力资源政策和流程。 采用人力资源共享服务的最主要的驱动因素是希望建立一些标准的人力资源的流程和政策以增强人力资源的操作的一致性。 作为一家科技公司,他们想要最大限度的利用科技和网络来适应其独特的文化并且尽可能的增加与经理们的沟通。 因为涉及很多不同政策,人力资源共享服务中心的经济性存在疑问。 因此,公司将自己定位在实现标准化的政策和流程,使用通用的技术阶段。 该阶段将政策和流程的标准化提升到较高水平,在不同区域间整合复杂的政策。 这一举措提供了关于行为准则和方法步骤的标准,并适应各地方法规的规定。 案例2:合并后的一家大型重型设备制造商在一系列松散的企业的合并后,这家企业的人力资源管理权分散了。 新的业务领导与HR总监要识别和建立人力资源的关键领域和通用性活动以提高竞争力和管理集中度。 通过全面回顾人力资源及其满足业务需求的程度,一些关键领域-主要是学习、发展和人才管理中的关键流程被认为是需要全面关注的。 虚拟的专家中心建立起来对这些核心业务流程进行支持。 其余的人力资源模块仍是本地化的,定位于提供日常人力资源具体服务。 值得注意的是,其中一个的业务单元,也是当时规模最大的,自己完成对人力资源的回顾,其主要动机并非为了形成“一致的富于竞争力的人力资源流程” ,其初衷是为了降低人力资源的成本效益,提升效率。 通过回顾后,这个业务单元发现他们需要更多的通用流程和技术。 他们已经开始设计以共享服务作为最终目标的交付模式。 从文化的角度而言,业务现状决定了全组织范围的共享服务是不适合于组织在当时的阶段; 不过,对于处于发展中并处于整合兼并时期的这家企业而言,共享服务模式可能是适用的。 案例3 :一家制造业公司,在各地拥有名员工第三家企业,同样也是一家制造商,通过收购实现了发展。 他们在新的人力资源系统上已投入了巨资,但既未取得服务上的收益也没有获得成本效益。 针对这个问题,人力资源职能领导认识到必须做到三件事:第一,一个真正的标准化流程;第二,在组织内部进行文化变革以使其从一个收购来的集团转型为一个真正的跨地域性组织; 第三,把重点放在关键的业务驱动上,实现大幅度降低成本,以满足业务需求和为技术实施提供案例。 要实现这些就要求这家企业发展成能向不同地区提供共享服务。 现在他们已经实现了目标。
发表评论