k8s加固 hardening
生活随笔
收集整理的這篇文章主要介紹了
k8s加固 hardening
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
先來個summary吧
k8s pod安全
- 使用非root用戶跑應用
- 使用互斥文件系統允許container
- 掃描鏡像來發現可能的漏洞或者錯誤配置
- 使用技術控制來實施最小化的安全
- 阻止提權的containers
- 拒絕容器特征被利用 例如hostPID hostIPC
- 拒絕容易被root用戶執行
- 加固應用,使用安全服務,例如SElinux,apparmor,seccomp
網絡隔離和加固
- 使用防火墻和基于角色鎖定對控制平面節點的訪問訪問控制(RBAC)。控制平面使用單獨的網絡組件和節點。
- 進一步限制訪問k8s etcd服務 (Etcd 是一個使用一致性哈希算法(Raft)在分布式環境下的 key/value 存儲服務)
- 配置控制平面使用認證加密的通信
- 加密etcd
- 網絡測試隔離資源,
- 所有credentials和敏感信息在k8s secrets里面加密,
認證和授權
- 禁用匿名登錄
- rbac策略
- 強認證
審計log和威脅檢測
- enable 審計log
- 保存log來保證pod ,容器level failure的時候是可視的
- 環境中配置log,api audit 實際log,應用log,pod seccomp log。。。
- log監控和alert系統
應用安全實踐
- patch和upgrade
- 執行定期漏掃和滲透測試
- 刪除不用 組件
總結
以上是生活随笔為你收集整理的k8s加固 hardening的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Deepin安装Wireshark
- 下一篇: 插入篇 |程序员进阶之推荐书目