CNCF 發(fā)布 Kubernetes 策略管理白皮書

作者 | Mostafa Radwan

譯者 | 明知山

策劃 | 丁曉昀

CNCF 最近發(fā)布了一份關(guān)于 Kubernetes 策略管理的白皮書。白皮書強(qiáng)調(diào)了 Kubernetes 策略管理在集群安全和自動(dòng)化以及工作負(fù)載方面的重要性，并對 Kubernetes 策略所解決的問題以及策略的正確實(shí)施進(jìn)行了深入探討。

白皮書為 Kubernetes 策略管理提供了一個(gè)參考架構(gòu)，為基于策略的操作提供了指導(dǎo)，并強(qiáng)調(diào)了如何將策略映射到安全性的其他方面，如威脅建模、保證和事件響應(yīng)。

白皮書介紹了來自 OASIS 的標(biāo)準(zhǔn)語言 XACML，這門語言用于定義策略語言、架構(gòu)和處理模型。

圖片由 CNCF 提供

此外，白皮書還展示了不同的 XACML 實(shí)體、它們之間的交互以及它們與 Kubernetes 策略管理的關(guān)系。這包括策略實(shí)施點(diǎn)（Policy Enforcement Point，PEP）、策略決策點(diǎn)（Policy Decision Point，PDP）、策略信息點(diǎn)（Policy Information Point，PIP）和策略管理點(diǎn)（Policy Administration Point，PAP）。

圖片由 CNCF 提供

在這種架構(gòu)中，PAP 創(chuàng)建可供 PDP 使用的策略或策略集。任何一個(gè)用戶或系統(tǒng)請求都會被 PEP 攔截，PEP 與 PDP 發(fā)生交互并決定如何處理請求。PEP 有助于執(zhí)行策略，確保 Kubernetes 工作負(fù)載和集群的當(dāng)前狀態(tài)與策略定義的預(yù)期狀態(tài)是匹配的。然后 PDP 會告訴 PEP 應(yīng)該如何繼續(xù)。換句話說，就是允許或拒絕請求。

此外，白皮書強(qiáng)調(diào)，Kubernetes 策略管理適用于容器的所有四個(gè)生命周期階段：開發(fā)、分發(fā)、部署和運(yùn)行時(shí)（CNCF 安全特別興趣組 SIG 在云原生安全白皮書中所述），特別是在涉及容器鏡像和 Kubernetes 配置時(shí)。

在這個(gè)模型中，Kubernetes 策略是軟件交付管道的一部分，也被稱為策略即代碼（Policy as Code，PaC）。

白皮書提到，通過將 Kubernetes 策略映射到其他安全功能（如安全保證和合規(guī)性），策略將云原生組織中的操作和其他安全領(lǐng)域連接在一起。

白皮書指出，在動(dòng)態(tài)云原生環(huán)境中有必要采用一種整體的安全保障方法來解決獨(dú)特的安全需求。

這包括為平臺和工作負(fù)載開發(fā)威脅模型，將安全性納入到軟件交付管道中，以及檢測違反策略的行為，特別是在運(yùn)行時(shí)。

此外，白皮書強(qiáng)調(diào)了 Kubernetes 托管的策略在自動(dòng)化合規(guī)性控制和遵守監(jiān)管標(biāo)準(zhǔn)（如 PCI、NIST 800-30、HIPAA 等）方面起到的作用。為此，我們可以通過策略將文檔化的合規(guī)性目標(biāo)與集群、工作負(fù)載或運(yùn)行時(shí)級別的技術(shù)控制聯(lián)系起來。

白皮書作者的目標(biāo)是通過采用基于策略的操作幫助組織實(shí)現(xiàn)更安全、更合規(guī)的目標(biāo)。

白皮書專注于策略管理，相關(guān)項(xiàng)目和工具的清單可以在 CNCF Cloud Native Interactive Landscape 中找到。

用戶可以加入 Kubernetes 策略工作組，并提出和討論想法，或通過電子郵件 [email protected] 或 Slack 頻道聯(lián)系相關(guān)人員。

原文鏈接：

https://www.infoq.com/news/2022/07/cncf-policy-management/

推薦閱讀

• 是什么讓Redis“氣急敗壞”回?fù)簦?3年來，總有人想替Redis換套新架構(gòu)！
  
• IntelliJ項(xiàng)目遷移到Java 17！2022.3 版本開始必須Java 17！
  
• 微軟出手，拯救“四分五裂”的Markdown！
  

你好，我是程序猿DD，10年開發(fā)老司機(jī)、阿里云MVP、騰訊云TVP、出過書創(chuàng)過業(yè)、國企4年互聯(lián)網(wǎng)6年。從普通開發(fā)到架構(gòu)師、再到合伙人。一路過來，給我最深的感受就是一定要不斷學(xué)習(xí)并關(guān)注前沿。只要你能堅(jiān)持下來，多思考、少抱怨、勤動(dòng)手，就很容易實(shí)現(xiàn)彎道超車！所以，不要問我現(xiàn)在干什么是否來得及。如果你看好一個(gè)事情，一定是堅(jiān)持了才能看到希望，而不是看到希望才去堅(jiān)持。相信我，只要堅(jiān)持下來，你一定比現(xiàn)在更好！如果你還沒什么方向，可以先關(guān)注我，這里會經(jīng)常分享一些前沿資訊，幫你積累彎道超車的資本。