k8s加固 hardening

先来个summary吧

k8s pod安全

• 使用非root用户跑应用
• 使用互斥文件系统允许container
• 扫描镜像来发现可能的漏洞或者错误配置
• 使用技术控制来实施最小化的安全
  • 阻止提权的containers
  • 拒绝容器特征被利用 例如hostPID hostIPC
  • 拒绝容易被root用户执行
  • 加固应用，使用安全服务，例如SElinux，apparmor，seccomp

网络隔离和加固

• 使用防火墙和基于角色锁定对控制平面节点的访问访问控制(RBAC)。控制平面使用单独的网络组件和节点。
• 进一步限制访问k8s etcd服务 （Etcd 是一个使用一致性哈希算法(Raft)在分布式环境下的 key/value 存储服务）
• 配置控制平面使用认证加密的通信
• 加密etcd
• 网络测试隔离资源，
• 所有credentials和敏感信息在k8s secrets里面加密，

认证和授权

• 禁用匿名登录
• rbac策略
• 强认证

审计log和威胁检测

• enable 审计log
• 保存log来保证pod ，容器level failure的时候是可视的
• 环境中配置log，api audit 实际log，应用log，pod seccomp log。。。
• log监控和alert系统

应用安全实践

• patch和upgrade
• 执行定期漏扫和渗透测试
• 删除不用 组件