在 DevOps 中,Kubernetes 已成为容器事实上的协调工具,使企业能够高效地部署和管理应用程序。根据 CNCF 的受访者,96% 的企业正在使用或评估 Kubernetes,这是自 2016 年开始调查以来的最高纪录。随着采用率的不断提高,确保 Kubernetes 部署的安全性至关重要。入口控制器在将外部流量路由到集群内的服务方面发挥着至关重要的作用。使用 TLS 证书确保这些入口控制器的安全,对于保护网络传输数据的机密性和完整性至关重要。
Kubernetes Ingress 控制器需要 TLS 证书来保证安全,并帮助确保开发周期的安全。通过 GlobalSign 的 Atlas issuer for cert-manager 和 ACME 服务,您可以维护 Kubernetes Ingresses 的安全性,确保您的信息安全。
Kubernetes 输入路由策略管理用户如何将外部流量路由到群集中的服务。通过一个简单的负载平衡器,客户可以实施路由规则,配置集群中已定义的基础设施,使其相应地路由到服务。
为什么要使用 SSL / TLS 证书保护入口控制器的安全?
- 加密通信: TLS 证书提供加密功能,确保客户端与输入控制器之间传输的数据保持机密。这可以防止中间人攻击,降低敏感信息被截获或泄露的风险。
- 数据完整性: TLS 证书可进行完整性检查,防止篡改和网络攻击,并确保数据在传输过程中的安全。通过验证通信的真实性和完整性,企业可以信任客户和服务之间交换的数据。
- 认证: 证书可实现客户端和服务器验证,建立信任并防止未经授权访问 Kubernetes 集群。这就降低了恶意实体拦截或修改数据的风险。
- 合规要求: 支付卡行业数据安全标准(PCI DSS)和《通用数据保护条例》(GDPR)等行业法规要求使用 TLS 证书保护敏感数据。使用数字证书保护入口控制器可使企业满足这些合规要求。
许多开发人员在开发或测试环境中使用自签名 TLS 证书。这些证书是通过 OpenSSL 等开源工具生成的,但由于不是由可信的证书颁发机构(CA)签署,因此并不完全合规,可能会给环境带来风险。
GlobalSign 的数字身份平台 Atlas 如何确保 Kubernetes 入口控制器的安全
作为受公众信任的 CA,GlobalSign 建议在开发、测试和生产环境中使用符合要求的数字证书。GlobalSign 提供三种不同的解决方案,以确保使用Atlas的 Kubernetes 入口控制器的安全。
- 用于 cert-manager 的 Atlas Issuer: GlobalSign 用于 cert-manager 的 Atlas 插件允许用户从 GitHub 存储库访问 Atlas API,以简化 Kubernetes 中的证书签发要求。该发行器允许开发人员为 Kubernetes 资源获取可信的 TLS 证书,以确保 Kubernetes 集群的安全。
- Atlas - HashiCorp Vault 插件: 使用GlobalSign的HashiCorp Vault集成,可无忧签发数字证书。该插件可管理和保护所有 API 密钥和机密。
- Atlas-ACME 服务: 使用 ACME 协议(使用 HTTP 或 DNS 验证),Atlas 可为您的 DevOps 环境签发快速、可扩展的数字证书。
利用插件和集成实现 DevSecOps 管道自动化有助于减轻 DevSecOps 管道安全人工干预的负担。DevOps 环境的不断左移是建立在整个管道安全的基础上的,但这可能会给 DevSecOps 团队带来额外的时间限制和更沉重的工作负担。自动化有助于简化这些流程,防止 DevSecOps 团队负担过重,同时与法规保持同步并提高管道安全性。
确保 Kubernetes 入口控制器的稳健安全性
随着 Kubernetes 继续主导容器编排,使用 TLS 证书保护 Kubernetes 入口控制器不仅是最佳实践,也是当今 DevOps 环境的必需品。GlobalSign 用于 cert-manager 的 Atlas 签发器及其他集成为自动化和保护 Kubernetes 入口控制器提供了一个强大的框架。通过利用这些工具,企业可以简化其 DevSecOps 流程,并在开发、测试和生产环境中保持高水平的安全性。采用这些做法不仅能保护数据安全,还能提高 Kubernetes 部署的整体可靠性和可信度。
了解 GlobalSign 的 Atlas issuer for cert-manager,实现 Kubernetes 环境安全自动化