कुबेरनेट्स बेहद लोकप्रिय है, लेकिन उचित सुरक्षा उपायों के बिना, यह जोखिम भी लेकर आता है। सुरक्षा विशेषज्ञ साइबरआर्क ने तीन विशिष्ट जोखिमों को नाम दिया है और कुबेरनेट्स में हार्डवेयर, एपीआई सर्वर और कंटेनर जोखिमों को नियंत्रण में लाने के लिए कौन से रक्षात्मक उपाय आवश्यक हैं।
सॉफ्टवेयर विकास में आज, गति और चपलता प्रमुख हैं। कंटेनर तकनीक का काफी हद तक उपयोग किया जा रहा है। कुबेरनेट्स कंटेनरीकृत कार्यभार और सेवाओं के प्रबंधन के लिए वास्तविक मानक के रूप में उभरा है।
कुबेरनेट्स के सुरक्षा पहलू
सुरक्षा के दृष्टिकोण से, कुबेरनेट्स ऑर्केस्ट्रेशन प्लेटफ़ॉर्म अपने साथ विशिष्ट पहचान-संबंधी चुनौतियाँ लाता है जिन्हें विकास प्रक्रिया में जल्दी संबोधित करने की आवश्यकता होती है। अन्यथा, कंटेनरीकृत वातावरण आईटी सुरक्षा के लिए जोखिम पैदा कर सकता है। कुबेरनेट्स के भीतर तीन मुख्य संभावित कमजोर क्षेत्र हैं जिन पर संगठनों को एक सच्चे DevSecOps दृष्टिकोण के हिस्से के रूप में ध्यान देना चाहिए।
कुबेरनेट्स जोखिम: हार्डवेयर
चाहे कुबेरनेट ऑन-प्रिमाइसेस चला रहे हों या किसी तृतीय-पक्ष प्रबंधित क्लाउड में, एक हार्डवेयर प्लेटफ़ॉर्म की अभी भी आवश्यकता है। एक बार एक हमलावर के पास कुबेरनेट्स चलाने वाली वर्चुअल मशीन तक पहुंच हो जाती है और रूट विशेषाधिकार प्राप्त हो जाते हैं, तो वे कुबेरनेट क्लस्टर पर भी हमला कर सकते हैं।
इसे रोकने के लिए, निम्नलिखित सुरक्षा सर्वोत्तम प्रथाएँ हैं:
- हार्डवेयर की सुरक्षा के लिए कम से कम विशेषाधिकार के सिद्धांत को लागू करना महत्वपूर्ण है जो कुबेरनेट्स और स्वयं कंटेनरों दोनों को रेखांकित करता है। हमलावरों के लिए रूट एक्सेस प्राप्त करना अधिक कठिन बनाने के लिए वर्चुअल मशीनों को निम्नतम स्तर के विशेषाधिकारों के साथ तैनात किया जाना चाहिए (अर्थात, केवल वे जो कार्यात्मक कारणों से कड़ाई से आवश्यक हैं)।
- क्रेडेंशियल्स को नियमित रूप से घुमाए जाने की आवश्यकता होती है, और एक स्वचालित वॉल्ट समाधान का उपयोग करने से ओवरहेड को जोड़े बिना सुरक्षा को और बढ़ाने में मदद मिलती है।
कुबेरनेट्स जोखिम: कुबेरनेट्स एपीआई सर्वर
भौतिक मशीनों के अलावा, कुबेरनेट्स नियंत्रण विमान को भी सुरक्षित रखने की आवश्यकता है। यह कुबेरनेट्स एपीआई सर्वर सहित क्लस्टर में चल रहे सभी कंटेनरों तक पहुंच प्रदान करता है, जो फ्रंट एंड के रूप में कार्य करता है और क्लस्टर के भीतर उपयोगकर्ता के संपर्क को सुगम बनाता है।
एपीआई सर्वर पर हमले का बड़ा असर हो सकता है। यहां तक कि एक चुराए गए रहस्य या क्रेडेंशियल का उपयोग किसी हमलावर के एक्सेस अधिकारों और विशेषाधिकारों को आगे बढ़ाने के लिए किया जा सकता है। प्रारंभ में एक छोटी भेद्यता जल्दी से नेटवर्क-वाइड समस्या में विकसित हो सकती है।
सुरक्षा सर्वोत्तम प्रथाओं में शामिल हैं:
- जोखिम को कम करने के लिए, संगठनों को पहले क्रेडेंशियल चोरी और मैलवेयर के खतरों से एंडपॉइंट को सुरक्षित करना चाहिए। कुबेरनेट्स में प्रशासनिक अधिकारों वाले उपयोगकर्ताओं द्वारा उपयोग किए जाने वाले स्थानीय कंप्यूटर विशेष रूप से प्रासंगिक हैं।
- कुबेरनेट्स एपीआई सर्वर तक पहुंच के लिए बहु-कारक प्रमाणीकरण (एमएफए) आवश्यक है। उदाहरण के लिए, कुबेरनेट्स एक्सेस के लिए चोरी किए गए क्रेडेंशियल का उपयोग नहीं किया जा सकता है।
- कुबेरनेट्स में एक बार उपयोगकर्ता प्रमाणित हो जाने के बाद, वे क्लस्टर के भीतर सभी संसाधनों तक पहुंच सकते हैं। प्राधिकरणों का प्रबंधन इसलिए महत्वपूर्ण महत्व का है। भूमिका-आधारित अभिगम नियंत्रण के साथ, एक कंपनी यह सुनिश्चित कर सकती है कि उपयोगकर्ताओं के पास केवल वे अधिकार हैं जिनकी उन्हें वास्तव में आवश्यकता है।
- Kubernetes सेवा खातों में कम से कम विशेषाधिकार भी लागू किए जाने चाहिए, जो पॉड्स को प्रमाणित करने में मदद करने के लिए क्लस्टर सेट होने पर स्वचालित रूप से बनाए जाते हैं। उन लोगों के लिए पहुंच के अवसरों को समाप्त करने के लिए नियमित रूप से रहस्यों को घुमाना भी उतना ही महत्वपूर्ण है, जिन्हें अब उनकी आवश्यकता नहीं है।
कुबेरनेट्स जोखिम: कंटेनर
पॉड्स और कंटेनर कुबेरनेट्स क्लस्टर के बिल्डिंग ब्लॉक्स हैं और इसमें एप्लिकेशन को चलाने के लिए आवश्यक जानकारी होती है। इस कंटेनर पारिस्थितिकी तंत्र और वर्कफ़्लो में कई संभावित भेद्यताएँ हैं। इनमें शामिल हैं, उदाहरण के लिए, कंटेनर एपीआई या कंटेनर होस्ट और असुरक्षित छवि रजिस्ट्रियों तक असुरक्षित पहुंच।
कंटेनर सुरक्षा के लिए निम्नलिखित सर्वोत्तम अभ्यासों की अनुशंसा की जाती है:
- रहस्य को कोड या कंटेनर छवि में एम्बेड नहीं किया जाना चाहिए। अन्यथा, स्रोत कोड तक पहुंच वाले किसी भी व्यक्ति के पास कोड रिपॉजिटरी में जानकारी तक पहुंच होती है, उदाहरण के लिए।
- सुरक्षा जोखिमों को भूमिका-आधारित अभिगम नियंत्रण, एक विशिष्ट कंटेनर के भीतर प्रक्रियाओं तक गुप्त पहुंच के प्रतिबंध और उन रहस्यों को हटाने से काफी कम किया जाता है जिनकी अब आवश्यकता नहीं है।
- रोटेशन या निष्क्रियता सहित गुप्त उपयोग लॉग किया जाना चाहिए। एक केंद्रीय रहस्य प्रबंधन समाधान जो स्वचालित प्रशासन और गोपनीय एक्सेस डेटा की सुरक्षा को सक्षम बनाता है, वह भी लाभप्रद है।
साइबरआर्क में डीएसीएच के एरिया वाइस प्रेसिडेंट माइकल क्लेस्ट ने कहा, "इन सर्वोत्तम प्रथाओं को अपनाने से, एक कंपनी पूरे कुबेरनेट्स पर्यावरण में सुरक्षा में काफी सुधार कर सकती है।" "इसके अलावा, डेवलपर्स को अपने दैनिक कार्य में स्वयं-सेवा कार्यों के साथ समर्थन करने की भी संभावना है, उदाहरण के लिए कोड स्कैनिंग के संबंध में। इससे उन्हें जल्दी और आसानी से कुबेरनेट्स सुरक्षा बढ़ाने में और योगदान करने की अनुमति मिलती है।"
CyberArk.com पर अधिक
साइबरआर्क के बारे में
साइबरआर्क पहचान सुरक्षा में वैश्विक नेता है। मुख्य घटक के रूप में प्रिविलेज्ड एक्सेस मैनेजमेंट के साथ, CyberArk किसी भी पहचान के लिए व्यापक सुरक्षा प्रदान करता है - मानव या गैर-मानव - व्यावसायिक अनुप्रयोगों, वितरित कार्य वातावरण, हाइब्रिड क्लाउड वर्कलोड और DevOps जीवनचक्र में।