集群安裝

使用網(wǎng)絡(luò)安全策略來(lái)限制集群級(jí)別的訪問(wèn)

使用CIS基準(zhǔn)檢查Kubernetes組件(etcd, kubelet, kubedns, kubeapi)的安全配置

正確設(shè)置帶有安全控制的Ingress對(duì)象

保護(hù)節(jié)點(diǎn)元數(shù)據(jù)和端點(diǎn)

最小化GUI元素的使用和訪問(wèn)

在部署之前驗(yàn)證平臺(tái)二進(jìn)制文件

集群強(qiáng)化

限制訪問(wèn)Kubernetes API

使用基于角色的訪問(wèn)控制來(lái)最小化暴露

謹(jǐn)慎使用服務(wù)帳戶(hù)，例如禁用默認(rèn)設(shè)置，減少新創(chuàng)建帳戶(hù)的權(quán)限，經(jīng)常更新Kubernetes

系統(tǒng)強(qiáng)化

最小化主機(jī)操作系統(tǒng)的大小(減少攻擊面)

最小化IAM角色

最小化對(duì)網(wǎng)絡(luò)的外部訪問(wèn)

適當(dāng)使用內(nèi)核強(qiáng)化工具，如AppArmor, seccomp

微服務(wù)漏洞最小化

設(shè)置適當(dāng)?shù)腛S級(jí)安全域，例如使用PSP, OPA，安全上下文

管理Kubernetes機(jī)密

在多租戶(hù)環(huán)境中使用容器運(yùn)行時(shí) (例如gvisor, kata容器)

使用mTLS實(shí)現(xiàn)Pod對(duì)Pod加密

供應(yīng)鏈安全

最小化基本鏡像大小

保護(hù)您的供應(yīng)鏈：將允許的注冊(cè)表列入白名單，對(duì)鏡像進(jìn)行簽名和驗(yàn)證

使用用戶(hù)工作負(fù)載的靜態(tài)分析(例如kubernetes資源，Docker文件)

掃描鏡像，找出已知的漏洞

監(jiān)控、日志記錄和運(yùn)行時(shí)安全

在主機(jī)和容器級(jí)別執(zhí)行系統(tǒng)調(diào)用進(jìn)程和文件活動(dòng)的行為分析，以檢測(cè)惡意活動(dòng)

檢測(cè)物理基礎(chǔ)架構(gòu)，應(yīng)用程序，網(wǎng)絡(luò)，數(shù)據(jù)，用戶(hù)和工作負(fù)載中的威脅

檢測(cè)攻擊的所有階段，無(wú)論它發(fā)生在哪里，如何擴(kuò)散

對(duì)環(huán)境中的不良行為者進(jìn)行深入的分析調(diào)查和識(shí)別

確保容器在運(yùn)行時(shí)不變

使用審計(jì)日志來(lái)監(jiān)視訪問(wèn)