TOP 1、镜像安全
镜像中存在什么?
镜像中存在打包后的code以及base image、tools
安全建议:
1、代码中非必须不使用任何多余的tools或者库。
2、尽量使用小而精且签名的base image.
3、推送到私有仓库前扫描 docker image.(可以集成在CI/CD的流水线中)
4、定期对存储在石私有仓库的docker image 镜像进行扫描。
Top 2、禁止使用root用户运行
在编写docker file以及在pod构建时添加安全上下文,不允许使用root用户。
1、 在编写docker file时创建一个用户专门来跑app.
2、在配置pod时添加安全上下文,禁止使用root用户运行以及使用userid为1000的普通用户来运行。
Top3、管理用户以及应用程序的权限
1、针对于人类用户-访问集群资源-debug
1、使用RBAC
2、先针对不同角色创建想要可以访问的资源或者动作清单。
3、通过RBAC创建想要的客户端证书下发到最终用户。
2、针对于非人类用户-应用程序访问api-server