Спонсируемый В первой статье нашей серии из четырех частей, посвященной Kubernetes на предприятии, мы описали службы данных, которые лежат в основе правильно построенной контейнерной среды Kubernetes. Безопасность данных, управление данными, устойчивость данных и обнаружение данных – это столпы, которые поддерживают эволюцию Kubernetes от необработанного хранилища, постоянного или эфемерного, до настоящих сервисов данных, подходящих для развертывания на предприятиях.
В этой и последующих статьях мы подробно рассмотрим эти конкретные службы данных. Здесь мы рассматриваем безопасность данных и управление данными вместе, потому что в некотором смысле это две стороны одной медали. Вы можете думать о безопасности как об уровне управления данными или о управлении данными как о более высоком уровне безопасности.
Поскольку контейнеры перемещаются по кластеру машин, порождают фрагменты кода микросервисов и требуют доступа к данным, жизненно важно защитить данные на уровне хранения под Kubernetes и внутри самой платформы Kubernetes.
«Безопасность данных сейчас является актуальной проблемой, особенно когда вы думаете о киберустойчивости и способности противостоять атакам на вашу инфраструктуру и, что более важно, на ваши данные», – говорит Пит Брей, директор по маркетингу больших данных Red Hat.
«Дело в том, что существует множество киберпреступников, которые пытаются получить доступ к данным клиентов и другой конфиденциальной информации, и первая линия защиты – это шифрование. К счастью, за последние десять лет шифрование прошло долгий путь. Отчасти это связано с тем, что у нас есть более продвинутые процессоры, которые могут быстро шифровать данные на лету без заметного снижения производительности. Несколько лет назад производительность была большой проблемой для отрасли, и многие данные не были зашифрованы, хотя должны были быть зашифрованы. Но это больше не проблема ».
Шифрование в среде K8s
Как и в случае с другими приложениями и системным программным обеспечением, шифрование в среде Kubernetes обычно включает шифрование данных в полете, когда они перемещаются, а также в состоянии покоя в физическом хранилище, таком как дисковые накопители и флеш-устройства, или даже в общедоступном облачном хранилище. Все чаще даже основная память шифруется с помощью процессоров Intel, AMD и других, а некоторые процессоры теперь имеют способы управления ключами шифрования безопасности, недоступные для хакеров.
Эти функции шифрования и дешифрования, которые жизненно важны для всего программного обеспечения, выполняются процессорами, на которых теперь установлены специализированные криптографические ускорители. Это означает, что компаниям больше не нужно тратить тысячи долларов на установку вспомогательных криптографических сопроцессоров на шину PCI-Express сервера. Это также означает, что им не нужно принимать меры по задержке в своих приложениях и системном программном обеспечении, поскольку данные поступают в ЦП, передаются на ускоритель для шифрования или дешифрования, а затем загружаются в память для обработки или отправляются в хранилище. для сохранности.
Это собственное шифрование и дешифрование на скорости проводной сети преобразило безопасность в центре обработки данных. По мере того, как шифрование стало товаром, оно стало повсеместным.
Протокол Secure Sockets Layer (SSL) и последовавший за ним протокол Transport Layer Security (TLS) стали центральными в обеспечении безопасности данных. Используя криптографию с открытым ключом, TLS проверяет подлинность участников, которые обмениваются данными по Интернет-протоколам, и защищает передачу данных с помощью криптографии с симметричным ключом, где ключи генерируются уникальным образом для каждого соединения между приложениями на разных машинах. Идея состоит в том, чтобы иметь уникальные ключи, которые также были длинными и сложными, чтобы их было сложно взломать или взломать.
Позвольте мне рассказать вам секрет
Многие приложения должны обрабатывать конфиденциальную информацию, и Kubernetes не исключение. Платформа управления контейнерами имеет конструкцию под названием Secret, которая позволяет хранить конфиденциальные данные, связанные с контейнерами и их модулями, и управлять ими из Kubernetes. Независимое абстрагирование и защита этой информации является более безопасным и более гибким, чем встраивание ее в образ контейнера или определение модуля. Секреты используются не только для ключей шифрования, но и для токенов OAuth, ключей SSH, паролей и другой конфиденциальной информации. Данные хранятся в зашифрованном виде в системе Secrets, и для них может быть включен контроль доступа на основе ролей (RBAC) для ограничения чтения и записи секретных данных.
Все на предприятии, что относится к безопасности и управлению, применимо к Kubernetes.
Хорошая новость для организаций заключается в том, что есть способы подключить платформу Kubernetes к существующей структуре безопасности и управления. «Все на предприятии, что касается безопасности и управления, применимо к Kubernetes», – говорит Брей. «Все концепции по-прежнему применимы – например, управление ключами – и вам не нужно покупать много дополнительных вещей. Например, многое из этого уже заложено в нашу платформу OpenShift Kubernetes. Red Hat Enterprise Linux имеет криптографические модули, которые используются OpenShift, Ansible, Ceph и другими частями стека Red Hat ».
Управление данными
Об управлении данными нельзя думать в последнюю очередь, и то, что мы говорим об этом вторым в этой истории, не означает, что оно играет второстепенную роль по сравнению с безопасностью данных. Безопасность без управления на самом деле не является безопасностью, а управление без безопасности – это вообще не управление. Если вы позволяете кому-то разблокировать данные, вы должны убедиться, что знаете, кто они такие – как в момент разблокировки данных, так и после того, как вам может потребоваться прочесать контрольный журнал с помощью журналов, чтобы попытаться найти хакера.
Безопасность без управления – это не совсем безопасность, а управление без безопасности – это вообще не управление
Учитывая эту естественную зависимость, многие люди объединяют меры безопасности как своего рода достаточное управление. «На самом деле безопасность и управление сильно отличаются», – объясняет Брей. «Безопасность больше связана с техническими средствами контроля физических данных. Управление – это проблема более высокого уровня, которая охватывает безопасность, но также включает процедуры и протоколы, определяющие, кто и как может получать доступ к данным ».
Во многих отраслях неизменность данных также является своего рода защитой, что не то же самое, что их шифрование или наблюдение за доступом к ним, как ястреб. Это хранилище с однократной записью, многократным чтением или WORM является неотъемлемой частью конкретных отраслей, таких как финансовые услуги и здравоохранение, что позволяет сохранять неизменяемость данных в течение определенного периода времени, часто в хранилище транзакций или объектов. Функции аудита и регистрации, а также функции неизменяемых данных, необходимые здесь – и, вероятно, полезные во многих отраслях, – включены в платформу данных OpenShift, хранилище объектов Ceph и другое системное программное обеспечение. Все, что вам нужно сделать, это включить его.
При поддержке Red Hat.
