k8s加固 hardening
admin
2024-02-15 12:39:01

先来个summary吧

k8s pod安全

  • 使用非root用户跑应用
  • 使用互斥文件系统允许container
  • 扫描镜像来发现可能的漏洞或者错误配置
  • 使用技术控制来实施最小化的安全
    • 阻止提权的containers
    • 拒绝容器特征被利用 例如hostPID hostIPC
    • 拒绝容易被root用户执行
    • 加固应用,使用安全服务,例如SElinux,apparmor,seccomp

网络隔离和加固

  • 使用防火墙和基于角色锁定对控制平面节点的访问访问控制(RBAC)。控制平面使用单独的网络组件和节点。
  • 进一步限制访问k8s etcd服务 (Etcd 是一个使用一致性哈希算法(Raft)在分布式环境下的 key/value 存储服务
  • 配置控制平面使用认证加密的通信
  • 加密etcd
  • 网络测试隔离资源,
  • 所有credentials和敏感信息在k8s secrets里面加密,

认证和授权

  • 禁用匿名登录
  • rbac策略
  • 强认证

审计log和威胁检测

  • enable 审计log
  • 保存log来保证pod ,容器level failure的时候是可视的
  • 环境中配置log,api audit 实际log,应用log,pod seccomp log。。。
  • log监控和alert系统

应用安全实践

  • patch和upgrade
  • 执行定期漏扫和渗透测试
  • 删除不用 组件

上一篇:概率分析介绍

下一篇:整数分组(冬季每日一题 16)

相关内容

热门资讯

米拉日巴佛阁位于甘南合作市郊 米拉日巴佛阁位于甘南合作市郊,距离市中心约3公里,是一座红色的藏式高层建筑。佛阁的高层宗教建筑在藏区...
成都你好,我是腾冲。携一山一水...
原创 5... 要知道,5月27日赵子豪在上海迪士尼的照片和短文在社交平台上被不少人热聊,他背着树懒卡通包,还配了句...
沉浸式露营体验!长春这家河畔休... 露营,作为一种亲近自然、放松身心的休闲方式,越来越受到人们的喜爱。然而,传统的露营需要准备大量的装备...
杭州龙井的茶,飘了旧香 杭州龙井寻香记 一、风里飘来的旧香 暮春的杭州总裹着一层湿润的绿,我原本只是趁着清明后的假期来散心,...