Google和Amazon云中的容器和基于Kubernetes的環(huán)境提供安全性和合規(guī)性

除非它是全新的，并且在各種裝配線之外，每個(gè)IT系統(tǒng)內(nèi)的服務(wù)器，存儲(chǔ)和網(wǎng)絡(luò)都可以被認(rèn)為是“遺留的”。這是因?yàn)橛布蛙浖a(chǎn)品的迭代一直在加速。例如，對(duì)于應(yīng)用程序制造商來(lái)說(shuō)，為了安全目的更新和/或修補(bǔ)應(yīng)用程序，每月或甚至一周應(yīng)用一次。有些應(yīng)用每天都會(huì)更新!硬件移動(dòng)速度稍慢，但制造周期也在加速。

這些文章描述了新一代的行業(yè)解決方案。我們的想法是研究新一代IT產(chǎn)品和服務(wù)每天如何改變生產(chǎn)的現(xiàn)實(shí)例子。他們中的大多數(shù)都是成功案例，但也會(huì)有其他人關(guān)于爆炸的項(xiàng)目。我們將有IT集成商，系統(tǒng)顧問(wèn)，分析師和其他專家根據(jù)需要幫助我們。

說(shuō)出要解決的問(wèn)題：Mux是一家視頻制作SaaS和分析公司，需要為Google和Amazon云中的容器和基于Kubernetes的環(huán)境提供安全性和合規(guī)性。該公司在全球的地理區(qū)域運(yùn)行其系統(tǒng)，其客戶包括具有嚴(yán)格合規(guī)要求的全球媒體公司。Mux需要提供合規(guī)性數(shù)據(jù)并保護(hù)其基礎(chǔ)設(shè)施免受客戶文件的攻擊和意外泄露。與今天的許多軟件公司一樣，Mux在其產(chǎn)品中使用了大量的開(kāi)源軟件，因此需要了解它無(wú)法控制的軟件的風(fēng)險(xiǎn)概況，并且需要運(yùn)行時(shí)檢測(cè)來(lái)監(jiān)控它從其提取的視頻文件?？蛻?，尋找和阻止惡意活動(dòng)。

描述尋找解決方案的策略： Mux IT員工知道他們需要一個(gè)“開(kāi)箱即用”的解決方案，不需要大量的人力資源或基礎(chǔ)設(shè)施變更來(lái)運(yùn)行。該公司開(kāi)始在網(wǎng)上進(jìn)行研究，尋找集裝箱安全公司，并參加貿(mào)易展覽會(huì)。重點(diǎn)是找到解決整個(gè)容器生命周期中的安全性的解決方案，特別關(guān)注Kubernetes安全性。Mux 在DockerCon貿(mào)易展上找到了StackRox Container Security Platform，并在幾周內(nèi)試用了該軟件。

列出解決方案中的關(guān)鍵組件：Mux對(duì)其Kubernetes安全解決方案有一些關(guān)鍵要求。該公司需要一個(gè)支持的容器安全平臺(tái)：

跨容器生命周期的構(gòu)建，部署和運(yùn)行時(shí)階段的完全安全性

防止已知的Kubernetes攻擊媒介

基于行為而不僅僅是白名單，自動(dòng)識(shí)別和阻止惡意活動(dòng)

跨云和本地部署的完全可移植性

描述部署的進(jìn)展情況，可能需要多長(zhǎng)時(shí)間，以及是否按計(jì)劃實(shí)現(xiàn)：Mux部署了StackRox軟件可在幾個(gè)小時(shí)內(nèi)完成，并將其與Mux的CI / CD管道，開(kāi)發(fā)人員通知工具和Kubernetes部署聯(lián)系起來(lái)。該公司在其測(cè)試系統(tǒng)上運(yùn)行該軟件幾周，試驗(yàn)各種已知的攻擊向量，錯(cuò)誤配置和權(quán)限設(shè)置。然后，該公司將其生產(chǎn)系統(tǒng)整合到StackRox安全框架下。大約一個(gè)小時(shí)后，在基礎(chǔ)架構(gòu)負(fù)責(zé)人展示新部署的StackRox安全軟件的所有人手中，StackRox風(fēng)險(xiǎn)配置文件儀表板閃現(xiàn)了一個(gè)顯示容器爆發(fā)的嚴(yán)重警報(bào)。當(dāng)他點(diǎn)擊儀表板上看看發(fā)生了什么事時(shí)，一名工程師羞怯地舉起手來(lái)說(shuō)他已經(jīng)支持問(wèn)題，打破了協(xié)議并縮短了典型流程。立即，

描述結(jié)果，獲得的新效率以及從項(xiàng)目中學(xué)到的內(nèi)容： 除了標(biāo)記實(shí)時(shí)容器違規(guī)之外，StackRox軟件還幫助Mux自動(dòng)化確保構(gòu)建和部署遵循Mux最佳實(shí)踐的過(guò)程。該軟件自動(dòng)對(duì)公司最具風(fēng)險(xiǎn)的部署進(jìn)行堆棧排序，并提供違規(guī)詳細(xì)信息以及所需的補(bǔ)救步驟。由于StackRox軟件將這些違規(guī)行為與負(fù)責(zé)部署的開(kāi)發(fā)團(tuán)隊(duì)聯(lián)系起來(lái)，因此Mux極大地提高了解決構(gòu)建和部署問(wèn)題的效率。Mux將此過(guò)程稱為“自動(dòng)分類”，其中StackRox代替人們找出了Mux必須解決的最大問(wèn)題。

描述投資回報(bào)率，碳足跡節(jié)省和員工時(shí)間節(jié)省(如果有)： Mux在StackRox風(fēng)險(xiǎn)概況儀表板的自動(dòng)分類中節(jié)省了大量人力。過(guò)去需要花費(fèi)數(shù)小時(shí)和數(shù)天的時(shí)間，現(xiàn)在可以立即連續(xù)地進(jìn)行，不斷更新儀表板中的任何關(guān)鍵問(wèn)題并自動(dòng)標(biāo)記相關(guān)的開(kāi)發(fā)團(tuán)隊(duì)。該公司估計(jì)他們需要聘請(qǐng)一名全職工程師，專門(mén)用于加強(qiáng)容器和Kubernetes環(huán)境以及追蹤運(yùn)行時(shí)問(wèn)題 - StackRox可以節(jié)省員工人數(shù)。