SecDevOps:
SecDevOps与DevOps相似,是一种哲学,鼓励运维人员、开发人员、测试人员和安全人员进行更高水水平协作,将信息安全被放在事前考虑,将安全性注入自动化流程中,以确保整个产品周期内的信息安全。

为了保证集群以及容器应用的安全,Kubernetes 提供了多种安全机制,限制容器的行为,减少容器和集群的攻击面,保证整个系统的安全性。

集群安全:TLS证书认证、RBAC
Security Context:限制容器的行为,例如只读文件系统、特权、运行用户等
Pod Security Policy:集群级的 Pod 安全策略,自动为集群内的 Pod 配置安全策略
Sysctls:允许容器设置内核参数
AppArmor:限制容器中应用对资源的访问权限
Network Policies:控制集群中网络通信
Seccomp:限制容器内进程的系统调用

k8s安全思路:
1、构建阶段:
使用最小的基础镜像
不要添加不必要的组件
使用最新稳定镜像
使用镜像扫描识别一直漏洞
将安全工作集成到CI/CD
2、部署阶段
使用名称空间隔离敏感的工作负载
使用网络策略来控制pod和集群之间的流量
评估容器使用的特权
评估镜像来源
启用RBAC权限
3、运行阶段
将漏洞扫描扩展到正在运行的部署
配置pod安全上下文
限制不必要或不安全的网路通信
4、基础设置安全
将kubernetes更新到最新版本
安全地配置kubernetes api server
etcd的安全与备份
kubelet的安全
5、实施k8s的安全
将安全更早的嵌入到容器的生命周期中
使用kubernetes内置安全控制机制来降低运营风险
按优先级进行修复工作

Logo

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐