CNCF 发布 Kubernetes 策略管理白皮书

2022 年 8 月 14 日 InfoQ

作者 | Mostafa Radwan
译者 | 明知山
策划 | 丁晓昀

CNCF 最近发布了一份关于 Kubernetes 策略管理的白皮书。白皮书强调了 Kubernetes 策略管理在集群安全和自动化以及工作负载方面的重要性,并对 Kubernetes 策略所解决的问题以及策略的正确实施进行了深入探讨。

白皮书为 Kubernetes 策略管理提供了一个参考架构,为基于策略的操作提供了指导,并强调了如何将策略映射到安全性的其他方面,如威胁建模、保证和事件响应。

白皮书介绍了来自 OASIS 的标准语言 XACML,这门语言用于定义策略语言、架构和处理模型。

图片由 CNCF 提供

此外,白皮书还展示了不同的 XACML 实体、它们之间的交互以及它们与 Kubernetes 策略管理的关系。这包括策略实施点(Policy Enforcement Point,PEP)、策略决策点(Policy Decision Point,PDP)、策略信息点(Policy Information Point,PIP)和策略管理点(Policy Administration Point,PAP)。

图片由 CNCF 提供

在这种架构中,PAP 创建可供 PDP 使用的策略或策略集。任何一个用户或系统请求都会被 PEP 拦截,PEP 与 PDP 发生交互并决定如何处理请求。PEP 有助于执行策略,确保 Kubernetes 工作负载和集群的当前状态与策略定义的预期状态是匹配的。然后 PDP 会告诉 PEP 应该如何继续。换句话说,就是允许或拒绝请求。

此外,白皮书强调,Kubernetes 策略管理适用于容器的所有四个生命周期阶段:开发、分发、部署和运行时(CNCF 安全特别兴趣组 SIG 在云原生安全白皮书中所述),特别是在涉及容器镜像和 Kubernetes 配置时。

在这个模型中,Kubernetes 策略是软件交付管道的一部分,也被称为策略即代码(Policy as Code,PaC)。

白皮书提到,通过将 Kubernetes 策略映射到其他安全功能(如安全保证和合规性),策略将云原生组织中的操作和其他安全领域连接在一起。

白皮书指出,在动态云原生环境中有必要采用一种整体的安全保障方法来解决独特的安全需求。

这包括为平台和工作负载开发威胁模型,将安全性纳入到软件交付管道中,以及检测违反策略的行为,特别是在运行时。

此外,白皮书强调了 Kubernetes 托管的策略在自动化合规性控制和遵守监管标准(如 PCI、NIST 800-30、HIPAA 等)方面起到的作用。为此,我们可以通过策略将文档化的合规性目标与集群、工作负载或运行时级别的技术控制联系起来。

白皮书作者的目标是通过采用基于策略的操作帮助组织实现更安全、更合规的目标。

白皮书专注于策略管理,相关项目和工具的清单可以在 CNCF Cloud Native Interactive Landscape 中找到。

用户可以加入 Kubernetes 策略工作组,并提出和讨论想法,或通过电子邮件 wg-policy@googlegroups.com 或 Slack 频道联系相关人员。

原文链接:

https://www.infoq.com/news/2022/07/cncf-policy-management/

点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!

今日好文推荐

传美的被勒索千万美元,连夜天价聘请安全专家;软银抵押一半阿里股票,孙正义:“为过去贪图暴利而感到羞愧”;谷歌数据中心爆炸 | Q 资讯

我的开源代码被大公司盗用后:有人承认,有人让我滚

从 10 月 19 日起,GitLab 将对所有免费用户强制实施存储限制

是什么让 Redis“气急败坏”回击:13 年来,总有人想替 Redis 换套新架构

内容推荐

InfoQ 研究中心首次发布行业报告——《中国开源发展研究分析 2022 》,通过双环模型抽象了复杂的开源运转机制,解读开源生态中不同参与主体的价值和职能。

阅读报告你可以了解快速如何评价一个开源社区的运营情况;如何快速评价一个开源项目优秀程度;如何评价企业对开源的贡献;报告也建立了公正的评估模型,为业务决策提供更多参考依据。

我们在此基础上也评选了中国 Top 30 开源项目与中国对开源做出贡献的 Top 10 企业。同时我们也预测了未来开源发展的趋势。总之,如果你想了解开源, 那么一定不要错过这份报告!

登录查看更多
0

相关内容

Kubernetes 是一个自动化部署,扩展,以及容器化管理应用程序的开源系统。
【2022新书】Python DevOps,245页pdf
专知会员服务
89+阅读 · 2022年7月11日
《分布式云发展白皮书》重磅发布(附下载),47页pdf
专知会员服务
87+阅读 · 2022年6月25日
知识定义的编排与管控白皮书
专知会员服务
24+阅读 · 2022年5月18日
《智能电网组件:功能和效益》白皮书
专知会员服务
26+阅读 · 2022年4月13日
【AI与工业】2022最新发布《工业物联网AI框架》59页PDF
专知会员服务
142+阅读 · 2022年3月30日
全球能源转型-2050路线白皮书,52页pdf
专知会员服务
57+阅读 · 2022年3月1日
专知会员服务
59+阅读 · 2021年5月20日
无服务器和 Kubernetes 原生 Java 部署实践
InfoQ
0+阅读 · 2022年6月28日
Airbnb 如何实现 Kubernetes 集群动态扩展
InfoQ
0+阅读 · 2022年6月22日
深度解读 RocketMQ 存储机制
阿里技术
0+阅读 · 2022年6月17日
网易数帆云原生日志平台架构实践
专知
1+阅读 · 2022年3月12日
高级 Kubernetes 部署策略
InfoQ
1+阅读 · 2022年2月14日
2022 年要考虑的 7 种 Docker 替代方案
InfoQ
0+阅读 · 2022年2月10日
Kubernetes 安全指南
InfoQ
2+阅读 · 2021年12月24日
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
1+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
22+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Arxiv
0+阅读 · 2022年11月30日
Arxiv
0+阅读 · 2022年11月29日
Arxiv
0+阅读 · 2022年11月27日
Arxiv
0+阅读 · 2022年11月26日
Arxiv
1+阅读 · 2022年11月25日
VIP会员
相关VIP内容
【2022新书】Python DevOps,245页pdf
专知会员服务
89+阅读 · 2022年7月11日
《分布式云发展白皮书》重磅发布(附下载),47页pdf
专知会员服务
87+阅读 · 2022年6月25日
知识定义的编排与管控白皮书
专知会员服务
24+阅读 · 2022年5月18日
《智能电网组件:功能和效益》白皮书
专知会员服务
26+阅读 · 2022年4月13日
【AI与工业】2022最新发布《工业物联网AI框架》59页PDF
专知会员服务
142+阅读 · 2022年3月30日
全球能源转型-2050路线白皮书,52页pdf
专知会员服务
57+阅读 · 2022年3月1日
专知会员服务
59+阅读 · 2021年5月20日
相关资讯
无服务器和 Kubernetes 原生 Java 部署实践
InfoQ
0+阅读 · 2022年6月28日
Airbnb 如何实现 Kubernetes 集群动态扩展
InfoQ
0+阅读 · 2022年6月22日
深度解读 RocketMQ 存储机制
阿里技术
0+阅读 · 2022年6月17日
网易数帆云原生日志平台架构实践
专知
1+阅读 · 2022年3月12日
高级 Kubernetes 部署策略
InfoQ
1+阅读 · 2022年2月14日
2022 年要考虑的 7 种 Docker 替代方案
InfoQ
0+阅读 · 2022年2月10日
Kubernetes 安全指南
InfoQ
2+阅读 · 2021年12月24日
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
相关基金
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
1+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
22+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员