Akamai 推出 Kubernetes 微分段功能

关键要点

• Akamai 宣布为 Kubernetes 集群提供微分段，增加攻击者横向移动的难度。
• 近年来，针对容器的攻击显著增加，微服务架构如亚马逊、谷歌和奈飞等借此发展。
• 微分段被视为提升网络安全的基础，能够有效防止安全漏洞扩散。

Akamai 于周四宣布，现已为 提供微分段功能，这一能力可显著增加攻击者在 K8 集群中横向移动的难度。

在一篇 中，Akamai 的研究人员指出，近年来针对容器的攻击显著增加，这些容器是构成 K8集群的代码“pods”。这些集群因其支撑微服务架构而日益普及，像亚马逊、谷歌和奈飞等公司均在使用。研究人员表示，作为躲避检测的方法，攻击者在 K8集群上愈加采用规避和混淆技术，包括封装有效载荷、使用 rootkit，以及直接从内存运行恶意软件。

根据 ，93% 的受访者在过去 12 个月内在他们的 K8s环境中经历了至少一次安全事件。这些事件可能被攻击者利用来安装勒索软件和其他类型的恶意软件。

Akamai 的产品营销总监 Dan Petrillo 解释道：“Kubernetes天生是一个扁平网络，意味着资产之间没有隔离，因此如果有人进入网络，他们可以随意移动。我们必须假设发生了泄露，并认为初始感染是可能的，而微分段就是应对这种假设的方式。”

Petrillo 认为，过去攻击者可以轻松传播他们的恶意软件或利用其访问更有价值的资产，但通过 Akamai 的 Guardicore分段产品（Akamai 于 2021 年 10 月收购），他们无法如此轻易地横向移动。

“也许他们只能影响一个 ，这对某位管理员来说可能是个坏消息，”Petrillo说，“但这不会造成灾难，不会成为新闻事件，也不会导致支付巨额赎金。”

IDC 安全与信任业务副总裁 Frank Dickson 表示，对应用进行分段已变得至关重要，并称其为“零信任的基础”。

Dickson 说：“如果不对 Kubernetes应用进行分段，您可以确定未来会出现信任问题。原因在于，所有应用并非同等价值且安全级别不同。一个为潜在客户提供成本估算的应用，其价值较低，而电商应用的价值更高。您不希望因较低安全级别的成本计算器漏洞而给攻击者打开通向金融应用的后门。对应用进行分段可以防止一个应用的泄露立即转变为所有应用的泄露。”

Tech Target 企业战略小组首席分析师 John Grady 补充说，Kubernetes环境中资源的规模和短暂特性使传统网络安全实践和技术难以跟上。Grady指出，任何分段项目的第一步都是了解流量流动与资源之间的关系，以确保只有适当的实体能够进行通信，同时确保所设政策不会无意中“破坏”应用：这个理念是安全团队可以设置政策来阻止横向移动，并不干扰业务。

Grady 说：“下一步是部署控制措施来执行政策。在这两种情况下，Kubernetes 环境都面临着挑战：聚合所需的可见性以编写政策困难，并且以 K8环境的速度部署执行控件也十分挑战。Akamai 通过使用 K8 标签来映射工作流以及 K8容器网络接口（CNI）中的本地执法能力，使得在容器化环境中自信地部署分段变得更加容易。”