k8s加固 hardening
先来个summary吧
k8s pod安全
- 使用非root用户跑应用
- 使用互斥文件系统允许container
- 扫描镜像来发现可能的漏洞或者错误配置
- 使用技术控制来实施最小化的安全
- 阻止提权的containers
- 拒绝容器特征被利用 例如hostPID hostIPC
- 拒绝容易被root用户执行
- 加固应用,使用安全服务,例如SElinux,apparmor,seccomp
网络隔离和加固
- 使用防火墙和基于角色锁定对控制平面节点的访问访问控制(RBAC)。控制平面使用单独的网络组件和节点。
- 进一步限制访问k8s etcd服务 (Etcd 是一个使用一致性哈希算法(Raft)在分布式环境下的 key/value 存储服务)
- 配置控制平面使用认证加密的通信
- 加密etcd
- 网络测试隔离资源,
- 所有credentials和敏感信息在k8s secrets里面加密,
认证和授权
- 禁用匿名登录
- rbac策略
- 强认证
审计log和威胁检测
- enable 审计log
- 保存log来保证pod ,容器level failure的时候是可视的
- 环境中配置log,api audit 实际log,应用log,pod seccomp log。。。
- log监控和alert系统
应用安全实践
- patch和upgrade
- 执行定期漏扫和渗透测试
- 删除不用 组件
k8s加固 hardening相关推荐
- 云原生|容器和应用安全运营实践思考
文| 腾讯"洋葱"入侵对抗团队 bghost 前言 随着云计算的蓬勃发展,云原生概念被提出并快速发展,公司内部也在推进使用云原生技术进行架构优化,研发模式和基础设施都发生了很大的变 ...
- Security+ 5. 实现主机/软件安全性
5. 实现主机/软件安全性 5.1 加固(Hardening) 5.2 可信计算基础(trusted computing base/TCB) 5.2.1 硬件和固件安全 5.2.2 软件安全 5.2. ...
- kube-bench初体验
kube-bench是一个通过运行CIS Kubernetes benchmark中记录的checker来检查Kubernetes是否安全部署的工具. 测试,找gap,audit,都可以啊 关于CIS ...
- 云原生系列三:K8s应用安全加固技术
今天叶秋学长带领大家学习云原生系列三:10大K8s应用安全加固技术~ 本文译自 Top 10 Kubernetes Application Security Hardening Techniques[ ...
- HARDENING SALT - SaltStack安全加固措施介绍
HARDENING SALT 本主题包含可用于保护和强化Salt环境的配置提示. 如何最好地保护和加强你的Salt环境在很大程度上取决于你如何使用Salt.在哪里使用Salt.你的团队结构.从何处获取 ...
- 保障K8s部署中的安全性
开发人员需要了解如何在容器化应用程序中嵌入控件,以及如何启用运行时保护机制以阻止黑客访问容器化系统. Kubernetes是当前流行和常用的容器编排工具之一.Kubernetes工作负载就像简单的ng ...
- 从零开始入门 K8s | K8s 安全之访问控制
作者 | 匡大虎 阿里巴巴技术专家 本文整理自<CNCF x Alibaba 云原生技术公开课>第 27 讲,点击直达课程页面. 关注"阿里巴巴云原生"公众号,回复 ...
- 从零开始入门 K8s | K8s 安全之访问控制
作者 | 匡大虎 阿里巴巴技术专家 本文整理自<CNCF x Alibaba 云原生技术公开课>第 27 讲,点击直达课程页面. 关注"阿里巴巴云原生"公众号,回复 ...
- 总结 Underlay 和 Overlay 网络,在k8s集群实现underlay网络,网络组件flannel vxlan/ calico IPIP模式的网络通信流程,基于二进制实现高可用的K8S集群
1.总结Underlay和Overlay网络的的区别及优缺点 Overlay网络: Overlay 叫叠加网络也叫覆盖网络,指的是在物理网络的 基础之上叠加实现新的虚拟网络,即可使网络的中的容器可 ...
最新文章
- 电子商务与计算机科学与技术的相关性,电子商务、计算机科学与技术、法学等相关专业。.doc...
- C语言(CED)与long long相关的知识
- 创新数字音频处理技术带来消费电子产品差异化用户体验(转)
- 比较简单的解决键盘遮挡文本框的简单方法
- uva 10825 - Anagram and Multiplication(暴力)
- paip.提升安全性------登录地区变换后进行验证
- 常用汉字3500——文字识别数据准备
- IntelliJ IDEA常用插件及其安装
- oracle 12C 静默安装
- 每个设计师都在用的UI标注工具UI切图软件——PxCook像素大厨
- 最近流行的PlanB,全民副业的时代开启了?
- unity ToggleGroup和Toggle.isOn的坑
- Centos8 部署Promethus(普罗米修斯)+grafana画图
- python内存地址不变,关于python内存地址问题
- 10Easyx图形编程
- NOTES常见问题及解决方法
- [kuangbin带你飞]专题1 简单搜索 J - Fire! UVA - 11624
- WINUI3开发笔记 生成提示This version of Project Reunion requires WinRT.Runtime.dll version 1.3 or
- MySQL Windows 64位解压版安装
- 数学建模专栏 | 第十二篇:MATLAB CUMCM真题求解实例三:机理建模型