SecDevOps：
SecDevOps与DevOps相似，是一种哲学，鼓励运维人员、开发人员、测试人员和安全人员进行更高水水平协作，将信息安全被放在事前考虑，将安全性注入自动化流程中，以确保整个产品周期内的信息安全。

为了保证集群以及容器应用的安全，Kubernetes 提供了多种安全机制，限制容器的行为，减少容器和集群的攻击面，保证整个系统的安全性。

集群安全：TLS证书认证、RBAC
Security Context：限制容器的行为，例如只读文件系统、特权、运行用户等
Pod Security Policy：集群级的 Pod 安全策略，自动为集群内的 Pod 配置安全策略
Sysctls：允许容器设置内核参数
AppArmor：限制容器中应用对资源的访问权限
Network Policies：控制集群中网络通信
Seccomp：限制容器内进程的系统调用

k8s安全思路：
1、构建阶段：
使用最小的基础镜像
不要添加不必要的组件
使用最新稳定镜像
使用镜像扫描识别一直漏洞
将安全工作集成到CI/CD
2、部署阶段
使用名称空间隔离敏感的工作负载
使用网络策略来控制pod和集群之间的流量
评估容器使用的特权
评估镜像来源
启用RBAC权限
3、运行阶段
将漏洞扫描扩展到正在运行的部署
配置pod安全上下文
限制不必要或不安全的网路通信
4、基础设置安全
将kubernetes更新到最新版本
安全地配置kubernetes api server
etcd的安全与备份
kubelet的安全
5、实施k8s的安全
将安全更早的嵌入到容器的生命周期中
使用kubernetes内置安全控制机制来降低运营风险
按优先级进行修复工作