先来个summary吧

k8s pod安全

  • 使用非root用户跑应用
  • 使用互斥文件系统允许container
  • 扫描镜像来发现可能的漏洞或者错误配置
  • 使用技术控制来实施最小化的安全
    • 阻止提权的containers
    • 拒绝容器特征被利用 例如hostPID hostIPC
    • 拒绝容易被root用户执行
    • 加固应用,使用安全服务,例如SElinux,apparmor,seccomp

网络隔离和加固

  • 使用防火墙和基于角色锁定对控制平面节点的访问访问控制(RBAC)。控制平面使用单独的网络组件和节点。
  • 进一步限制访问k8s etcd服务 (Etcd 是一个使用一致性哈希算法(Raft)在分布式环境下的 key/value 存储服务
  • 配置控制平面使用认证加密的通信
  • 加密etcd
  • 网络测试隔离资源,
  • 所有credentials和敏感信息在k8s secrets里面加密,

认证和授权

  • 禁用匿名登录
  • rbac策略
  • 强认证

审计log和威胁检测

  • enable 审计log
  • 保存log来保证pod ,容器level failure的时候是可视的
  • 环境中配置log,api audit 实际log,应用log,pod seccomp log。。。
  • log监控和alert系统

应用安全实践

  • patch和upgrade
  • 执行定期漏扫和渗透测试
  • 删除不用 组件

k8s加固 hardening相关推荐

  1. 云原生|容器和应用安全运营实践思考

    文| 腾讯"洋葱"入侵对抗团队 bghost 前言 随着云计算的蓬勃发展,云原生概念被提出并快速发展,公司内部也在推进使用云原生技术进行架构优化,研发模式和基础设施都发生了很大的变 ...

  2. Security+ 5. 实现主机/软件安全性

    5. 实现主机/软件安全性 5.1 加固(Hardening) 5.2 可信计算基础(trusted computing base/TCB) 5.2.1 硬件和固件安全 5.2.2 软件安全 5.2. ...

  3. kube-bench初体验

    kube-bench是一个通过运行CIS Kubernetes benchmark中记录的checker来检查Kubernetes是否安全部署的工具. 测试,找gap,audit,都可以啊 关于CIS ...

  4. 云原生系列三:K8s应用安全加固技术

    今天叶秋学长带领大家学习云原生系列三:10大K8s应用安全加固技术~ 本文译自 Top 10 Kubernetes Application Security Hardening Techniques[ ...

  5. HARDENING SALT - SaltStack安全加固措施介绍

    HARDENING SALT 本主题包含可用于保护和强化Salt环境的配置提示. 如何最好地保护和加强你的Salt环境在很大程度上取决于你如何使用Salt.在哪里使用Salt.你的团队结构.从何处获取 ...

  6. 保障K8s部署中的安全性

    开发人员需要了解如何在容器化应用程序中嵌入控件,以及如何启用运行时保护机制以阻止黑客访问容器化系统. Kubernetes是当前流行和常用的容器编排工具之一.Kubernetes工作负载就像简单的ng ...

  7. 从零开始入门 K8s | K8s 安全之访问控制

    作者 | 匡大虎   阿里巴巴技术专家 本文整理自<CNCF x Alibaba 云原生技术公开课>第 27 讲,点击直达课程页面. 关注"阿里巴巴云原生"公众号,回复 ...

  8. 从零开始入门 K8s | K8s 安全之访问控制

    作者 | 匡大虎   阿里巴巴技术专家 本文整理自<CNCF x Alibaba 云原生技术公开课>第 27 讲,点击直达课程页面. 关注"阿里巴巴云原生"公众号,回复 ...

  9. 总结 Underlay 和 Overlay 网络,在k8s集群实现underlay网络,网络组件flannel vxlan/ calico IPIP模式的网络通信流程,基于二进制实现高可用的K8S集群

    1.总结Underlay和Overlay网络的的区别及优缺点 Overlay网络:  Overlay 叫叠加网络也叫覆盖网络,指的是在物理网络的 基础之上叠加实现新的虚拟网络,即可使网络的中的容器可 ...

最新文章

  1. 电子商务与计算机科学与技术的相关性,电子商务、计算机科学与技术、法学等相关专业。.doc...
  2. C语言(CED)与long long相关的知识
  3. 创新数字音频处理技术带来消费电子产品差异化用户体验(转)
  4. 比较简单的解决键盘遮挡文本框的简单方法
  5. uva 10825 - Anagram and Multiplication(暴力)
  6. paip.提升安全性------登录地区变换后进行验证
  7. 常用汉字3500——文字识别数据准备
  8. IntelliJ IDEA常用插件及其安装
  9. oracle 12C 静默安装
  10. 每个设计师都在用的UI标注工具UI切图软件——PxCook像素大厨
  11. 最近流行的PlanB,全民副业的时代开启了?
  12. unity ToggleGroup和Toggle.isOn的坑
  13. Centos8 部署Promethus(普罗米修斯)+grafana画图
  14. python内存地址不变,关于python内存地址问题
  15. 10Easyx图形编程
  16. NOTES常见问题及解决方法
  17. [kuangbin带你飞]专题1 简单搜索 J - Fire! UVA - 11624
  18. WINUI3开发笔记 生成提示This version of Project Reunion requires WinRT.Runtime.dll version 1.3 or
  19. MySQL Windows 64位解压版安装
  20. 数学建模专栏 | 第十二篇:MATLAB CUMCM真题求解实例三:机理建模型

热门文章

  1. 微软半年工作真实体验,爽!
  2. linux转换flv文件格式,安装和使用ffmpeg转换视频为flv文件(windows和linux)
  3. Numpy学习——科学计算
  4. 【100%通过率】华为机试真题 C语言 实现【过滤组合字符串】【2022.11 Q4新题】
  5. python实现拉大车扑克牌游戏
  6. JMETER time 获取上个月时间
  7. 视频合成软件哪个好,怎么把多个视频快速合并成一个视频
  8. 遥感影像深度学习样本制作
  9. 一份【超级全面】的前端工程师的技术知识自检清单,初学者请收藏
  10. 洛谷 - 一些好玩的问题 3