k8s加固 hardening
生活随笔
收集整理的這篇文章主要介紹了
k8s加固 hardening
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
先來個(gè)summary吧
k8s pod安全
- 使用非root用戶跑應(yīng)用
- 使用互斥文件系統(tǒng)允許container
- 掃描鏡像來發(fā)現(xiàn)可能的漏洞或者錯(cuò)誤配置
- 使用技術(shù)控制來實(shí)施最小化的安全
- 阻止提權(quán)的containers
- 拒絕容器特征被利用 例如hostPID hostIPC
- 拒絕容易被root用戶執(zhí)行
- 加固應(yīng)用,使用安全服務(wù),例如SElinux,apparmor,seccomp
網(wǎng)絡(luò)隔離和加固
- 使用防火墻和基于角色鎖定對控制平面節(jié)點(diǎn)的訪問訪問控制(RBAC)。控制平面使用單獨(dú)的網(wǎng)絡(luò)組件和節(jié)點(diǎn)。
- 進(jìn)一步限制訪問k8s etcd服務(wù) (Etcd 是一個(gè)使用一致性哈希算法(Raft)在分布式環(huán)境下的 key/value 存儲服務(wù))
- 配置控制平面使用認(rèn)證加密的通信
- 加密etcd
- 網(wǎng)絡(luò)測試隔離資源,
- 所有credentials和敏感信息在k8s secrets里面加密,
認(rèn)證和授權(quán)
- 禁用匿名登錄
- rbac策略
- 強(qiáng)認(rèn)證
審計(jì)log和威脅檢測
- enable 審計(jì)log
- 保存log來保證pod ,容器level failure的時(shí)候是可視的
- 環(huán)境中配置log,api audit 實(shí)際log,應(yīng)用log,pod seccomp log。。。
- log監(jiān)控和alert系統(tǒng)
應(yīng)用安全實(shí)踐
- patch和upgrade
- 執(zhí)行定期漏掃和滲透測試
- 刪除不用 組件
總結(jié)
以上是生活随笔為你收集整理的k8s加固 hardening的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Deepin安装Wireshark
- 下一篇: 插入篇 |程序员进阶之推荐书目