先來個summary吧

k8s pod安全

• 使用非root用戶跑應用
• 使用互斥文件系統允許container
• 掃描鏡像來發現可能的漏洞或者錯誤配置
• 使用技術控制來實施最小化的安全
  • 阻止提權的containers
  • 拒絕容器特征被利用 例如hostPID hostIPC
  • 拒絕容易被root用戶執行
  • 加固應用，使用安全服務，例如SElinux，apparmor，seccomp

網絡隔離和加固

• 使用防火墻和基于角色鎖定對控制平面節點的訪問訪問控制(RBAC)。控制平面使用單獨的網絡組件和節點。
• 進一步限制訪問k8s etcd服務 （Etcd 是一個使用一致性哈希算法(Raft)在分布式環境下的 key/value 存儲服務）
• 配置控制平面使用認證加密的通信
• 加密etcd
• 網絡測試隔離資源，
• 所有credentials和敏感信息在k8s secrets里面加密，

認證和授權

• 禁用匿名登錄
• rbac策略
• 強認證

審計log和威脅檢測

• enable 審計log
• 保存log來保證pod ，容器level failure的時候是可視的
• 環境中配置log，api audit 實際log，應用log，pod seccomp log。。。
• log監控和alert系統

應用安全實踐

• patch和upgrade
• 執行定期漏掃和滲透測試
• 刪除不用 組件

總結

以上是生活随笔為你收集整理的k8s加固 hardening的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。