广告

Kubernete合规性:治理和护栏

  • 浏览(293)
  • 评论(0)
  • 译者:k8s

云原生技术正在帮助各种规模的组织增长、更快地开发功能并建立竞争优势。云原生的不足之处在于满足合规性要求。这是因为在许多情况下,合规性经理、DevOps领导者和平台工程师“不知道有哪些还不懂”,尤其是关于Kubernetes。

我们需要的是一个有重点的框架——一套治理和防护措施——来帮助他们了解情况。

Kubernetes治理和护栏

成功的Kubernetes合规性植根于强大的治理和护栏。虽然合规性可能很棘手,但使用Kubernetes护栏解决这一问题有助于组织构建具有安全网的生产就绪环境。

Kubernetes护栏允许开发人员安全、合规且经济高效地与Kubernetes合作,以便他们的代码能够进入生产环境。它植根于Kubernetes服务所有权,使开发人员能够根据组织的策略配置容器和Kubernetes,而不会减慢它们的速度。那么,如何设置护栏呢?

第一步是建立护栏。组织需要遵循哪些策略?它需要遵守哪些合规性要求,如SOC 2、CIS基准控制、NSA强化指南或PCI?需要遵循哪些内部策略?需要考虑这些策略,并将其转化为Kubernetes护栏。

例如,组织可能希望遵守国家安全局和网络安全与基础设施安全局最近更新的关于pod安全的国家安全局强化指南。这包括通过使用非根容器、运行具有不可变文件系统的容器或扫描容器镜像来防止根执行漏洞。

另一个用例是提供SOC 2特定检查和文档。有什么可以跟踪SOC 2检查?例如,在基于角色的访问方面,需要哪些护栏来保持合规性?所有这些例子都应该考虑护栏,但仅仅写下来还不够,这些护栏需要在整个开发生命周期中进行编码和实施。

通过对护栏进行编码,DevSecOps领导者能够对照他们扫描工作负载,查看哪些预生产代码不符合要求。作为这个过程的一部分,真正的Kubernetes治理使用软件来审查从开发到生产的所有代码,以扫描任何违反法规的行为。

软件有助于消除DevSecOps团队手动审查和记录所有问题(通常在电子表格中)以及试图让开发团队纠正问题的负担。相反,软件不仅可以帮助防止问题进入生产,还可以帮助开发团队了解哪些不符合要求以及如何解决。

速度与合规性

合规性面临的一大挑战是:需要速度。如前所述,云原生的上市速度很快。平衡速度收益与实现合规性不应该是一种权衡。DevSecOps和Kubernetes服务所有权的原则寻求利用合规性和DevOps的力量来建立一个无缝工作的过程。这是通过将最佳实践、工具和政策统一在一个伞下实现的,以便安全、开发和运营团队之间的护栏保持一致。

事实上,当安全、开发和运维团队之间的孤岛被打破时,速度和合规性可以找到平衡。结果是满足了合规性要求,降低了安全风险,优化了成本,提高了性能。

实现合规性的压力要求从手动Kubernetes审查转向自动审查。合规的好处将是深远的,因为团队实施护栏不仅是为了安全和监管要求,而且也是为了节省资金和提高性能。

原文链接:

https://thenewstack.io/kubernetes-compliance-governance-and-guardrails/


  • 分享到:
  • icon
  • icon
  • icon
  • icon
箭头