k8s加固 hardening
admin
2024-02-15 12:39:01

先来个summary吧

k8s pod安全

  • 使用非root用户跑应用
  • 使用互斥文件系统允许container
  • 扫描镜像来发现可能的漏洞或者错误配置
  • 使用技术控制来实施最小化的安全
    • 阻止提权的containers
    • 拒绝容器特征被利用 例如hostPID hostIPC
    • 拒绝容易被root用户执行
    • 加固应用,使用安全服务,例如SElinux,apparmor,seccomp

网络隔离和加固

  • 使用防火墙和基于角色锁定对控制平面节点的访问访问控制(RBAC)。控制平面使用单独的网络组件和节点。
  • 进一步限制访问k8s etcd服务 (Etcd 是一个使用一致性哈希算法(Raft)在分布式环境下的 key/value 存储服务
  • 配置控制平面使用认证加密的通信
  • 加密etcd
  • 网络测试隔离资源,
  • 所有credentials和敏感信息在k8s secrets里面加密,

认证和授权

  • 禁用匿名登录
  • rbac策略
  • 强认证

审计log和威胁检测

  • enable 审计log
  • 保存log来保证pod ,容器level failure的时候是可视的
  • 环境中配置log,api audit 实际log,应用log,pod seccomp log。。。
  • log监控和alert系统

应用安全实践

  • patch和upgrade
  • 执行定期漏扫和渗透测试
  • 删除不用 组件

上一篇:概率分析介绍

下一篇:整数分组(冬季每日一题 16)

相关内容

热门资讯

地方新闻精选 | 杭州宣布灵隐... 【浙江】杭州宣布灵隐寺12月1日起免门票,需至少提前一天预约11月19日,中国蓝新闻记者从浙江省杭州...
还在纠结传统游乐与飞行影院项目...
从山海古城到青春乐场,日照的滨... 中新网日照11月19日电(记者 左宇坤)深秋时节,山东日照莒县浮来山上的“天下银杏第一树”迎来一年中...
重构温泉体验:项目实践与发展路... 传统温泉同质化、体验形式单一的问题日益凸显,难以满足当下游客对个性化、沉浸式、多功能消费的需求。随着...
原创 非... 面对急需帮助的人,我们会先选择帮助,还是先拍照呢?如果这是发生在10年前,肯定不用多想,大家一定会第...