华为云UCS策略中心:为大规模集群安全运行保驾护航

举报
云容器大未来 发表于 2023/06/27 15:16:03 2023/06/27
【摘要】 随着越来越多的企业客户采用混合和多云策略,工作负载分布在各个环境中,集中式的安全和治理变得越来越重要。如何在不牺牲开发敏捷性和运营独立性的前提下确保云原生应用的安全性和合规性,是企业组织持续思考的问题。开发人员往往只关注应用如何部署运行,而很少关注一些跟应用没有直接关系的诸如安全、可靠性、资源配比等因素。

作者:华为云云原生团队

随着越来越多的企业客户采用混合和多云策略,工作负载分布在各个环境中,集中式的安全和治理变得越来越重要。如何在不牺牲开发敏捷性和运营独立性的前提下确保云原生应用的安全性和合规性,是企业组织持续思考的问题。开发人员往往只关注应用如何部署运行,而很少关注一些跟应用没有直接关系的诸如安全、可靠性、资源配比等因素。比如:

⦁    开发人员可能错误配置liveness以及readiness,甚至不配置。

⦁    开发人员可能过度滥用容器的capacities权限,容器内部OS用户随意使用root、volume的fsuser、fsgroup设置的uid、gid不合理等。

⦁    Pod使用未受信任的镜像仓库以及大量使用latest标签的镜像。

⦁    挂载主机敏感目录,如/、/boot、/dev、/etc、/lib、/proc、/sys、/usr等目录,对宿主机系统安全造成隐患。

而解决如上问题,最有效的方法就是设置准入门槛,不符合规范的请求直接拒绝,而不是先污染后治理。云原生时代很多资源和服务是共享的,为了确保云计算环境的安全性、合规性、可靠性和高效性,企业需要制定一系列的策略来管理这些资源和服务。策略可视为一系列用于控制服务的规则,这些规则可能需要满足管理和法律的要求,或者符合最佳执行方法和组织惯例。例如准入策略是指在资源准入控制场景下定义必须符合某种规则的资源才能被业务层处理,安全合规策略是指在安全合规场景下定义一系列用于安全和合规控制的规则。

在分布式云场景下,企业使用多个云服务提供商提供的服务,多云环境下容器集群的策略管理需要考虑以下几个方面:

1. 跨云策略的标准化:通过使用开源或商业策略引擎,如Open Policy Agent (OPA),企业可以在不同的云环境中实现标准的策略引擎,从而维护一致性的安全和合规性要求。

2. 集中式策略管理:将所有的容器集群管理和监控策略进行统一管理,维护多云环境的策略一致性。随着容器应用的增长和分布式部署,Kubernetes 的管理会更加复杂,通过对集群的分组管理,集中式地控制所有集群安全合规性。

3. 自动化流程:使用CI/CD工具和自动化流程来管理多云环境下的 Kubernetes 部署、升级和配置。这可以确保一致性规范、标准化部署、防止指令冲突以及更快的部署速度。

基于上述几方面的考虑,华为云推出UCS策略中心,以帮助企业确保 Kubernetes 应用能够在多云环境中自由移动、部署和升级,而不会牺牲安全性和合规性。UCS策略中心基于OPA(Open Policy Agent)的Gatekeeper实现策略管理能力,OPA是一款通用策略规则引擎工具,通过统一标准的高级声明式查询语言Rego定义规则,基于规则和输入数据输出判定结果。如图1所示,UCS策略中心支持在Kubernetes单集群或多集群中定义和执行多种策略,对资源和服务统一实施保护措施以及统一监控资源的安全性和合规性状态。

 图1:UCS策略中心架构图

用户可以在单集群或多集群一键启用策略管理功能,系统自动在用户集群上安装策略管理功能插件,并下发预置的策略定义。策略管理通常有以下步骤:

1、创建策略实例:创建策略实例时首先需要用户选择一个策略定义,策略定义中描述了要实施的具体策略,用户可以从预置策略定义中选择符合需求的策略定义,当前UCS策略中心预置了安全类和合规类两种类型的策略定义,覆盖了常见的集群安全和合规场景。选择策略定义后用户可以选择策略执行方式,当前提供拦截和告警两种策略执行方式,拦截表示不符合策略要求的资源将无法创建,告警表示不符合策略要求的资源仅告警提醒。用户可以选择策略实例的生效范围,当前生效范围支持单集群或多集群,如果用户选择生效范围为容器舰队,则该策略实例将在容器舰队中的所有集群上生效,此外用户还可以配置生效命名空间等参数。

图2:UCS策略中心策略定义

2、查看策略实施情况:创建策略实例成功后即可查看策略实例情况,用户可以查看不合规资源的审计情况,资源的告警和拦截事件信息等,可以根据这些数据评估集群或舰队的安全合规情况,并及时采取修复措施。

图3:UCS策略中心策略实施情况

3、更新或删除策略实例:用户可能需要定期审视和更新策略实例,或者删除一些不再使用的策略实例。UCS策略中心可以非常方便快速的执行这些操作。

UCS策略中心内置了30+安全性和合规性策略定义,用户无需编写任何代码,可以按照单集群或多集群的维度设置策略生效范围,并支持拦截和告警两种策略执行方式,给用户提供了极大的便捷性和灵活性。UCS策略中心具备以下几个优势:

1. 全局一致的策略管理,一次操作、全域生效:UCS策略中心以集中、一致的方式将一组安全合规策略应用到多个集群中,统一管理各个集群的安全策略和资源访问限制,以满足多云多集群场景下的策略一致性诉求。UCS策略中心允许企业集中制定策略,而不必为不同云服务提供商的不同 Kubernetes 集群分别进行设置,简化了策略配置和管理,降低管理成本。

2. 面向全域集群的主动监控和审计:UCS策略中心持续监控策略健康程度,对资源进行实时安全合规性检查,拦截违反策略的行为,确保资源满足安全合规性要求,并出具审计报告。

3. 全局资源安全合规性视图,快速闭环集群风险:涵盖所有资源的全面安全合规性视图,大规模保护和管理集群资源。可在容器舰队或集群的策略详情页,可以查看策略实施详情和状态,以及集群的不合规资源、告警事件和强制拦截事件的情况,并可以根据这些数据评估集群的合规情况,并及时采取修复措施。

4. 开箱即用的管理能力,用户无需编写任何代码:UCS策略中心通过图形化界面快速完成策略的定义和部署,实时获取资源审计和告警拦截情况,降低策略使用门槛,简化策略执行步骤。同时,提供预置的策略定义库,该库根据行业标准或华为云推荐的最佳实践审核集群资源,可以创建具体的策略实例,进而将策略实例定义细节的任务委托给具备专业知识的个人或团队。这种做法不仅实现了关注点的隔离,还将策略实例的逻辑与定义进行了分离。

5. 生态开放,兼容主流的开源生态和体验:UCS策略中心基于OPA进行策略管理能力的构建,为云原生环境管理员提供统一、灵活、细粒度的策略控制手段。目前已有超过150家企业和组织采用OPA来分发和管理各种策略,具备活跃的开源生态支持。

华为云UCS策略中心提供了集中式的策略管理能力,使用户能够更容易地应对复杂的企业环境,同时确保所有资源在任何时候都处于预期内的安全和合规状态,有助于企业在多云环境下自由迁移和管理 Kubernetes应用,并确保 Kubernetes 环境能够高效安全地运行。

目前华为云UCS正式商用

各位前来Pick

识别二维码立即体验

华为二维码.jpg

添加小助手k8s2222 进入云原生技术交流群 




【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。