限制网络暴露
Kubernetes 重要组件的网络暴露必须限制:其中 Kubelet API、Kubernetes Dashboard、ETCD 上述组件不要暴露到公网,内部暴露也尽量限制范围。API server 如果非要对外暴露一定是提供HTTPS证书认证的方式。
使用 RBAC
安全领域的坚守的准则之一:最小化权限开放。通过RBAC 开放最小化权限。因为在k8s中serviceaccount 会自动注入到 pod 中的,给予不必要的权限非常危险,尤其操作 Pod 的权限。
Secret
Secret 管理程序,商业的有如 Hashicorp Vault,开源的有 Sealed Secrets、Kamus 、Helm Secerts Plugin。原生sercet的base64 实在是太弱了。
Network Policy
Network Policy 作为在 Kubernetes 集群范围内控制应用网络访问范围的有效手段。但这个设置需要谨慎,否则很容易导致生产故障。
Security Context
Kubernetes 的 Security Context 定义 Pod 或 Container 的特权与访问控制设置。包括非root运行,开放各种capabilities等。比如,下面通过NET_ADMIN 开启容器配置网络的权限。
- apiVersion: v1
- kind: Pod
- metadata:
- name: security-context-demo-4
- spec:
- containers:
- - name: sec-ctx-4
- image: busybox
- securityContext:
- capabilities:
- add: ["NET_ADMIN"]
seccomp
过滤危险的系统调用。
安全容器
部分高危的应用可用采用kata等安全容器部署,减少容器逃逸带来的风险。
