集群安裝

使用網絡安全策略來限制集群級別的訪問

使用CIS基準檢查Kubernetes組件(etcd, kubelet, kubedns, kubeapi)的安全配置

正確設置帶有安全控制的Ingress對象

保護節(jié)點元數據和端點

最小化GUI元素的使用和訪問

在部署之前驗證平臺二進制文件

集群強化

限制訪問Kubernetes API

使用基于角色的訪問控制來最小化暴露

謹慎使用服務帳戶，例如禁用默認設置，減少新創(chuàng)建帳戶的權限，經常更新Kubernetes

系統強化

最小化主機操作系統的大小(減少攻擊面)

最小化IAM角色

最小化對網絡的外部訪問

適當使用內核強化工具，如AppArmor, seccomp

微服務漏洞最小化

設置適當的OS級安全域，例如使用PSP, OPA，安全上下文

管理Kubernetes機密

在多租戶環(huán)境中使用容器運行時 (例如gvisor, kata容器)

使用mTLS實現Pod對Pod加密

供應鏈安全

最小化基本鏡像大小

保護您的供應鏈：將允許的注冊表列入白名單，對鏡像進行簽名和驗證

使用用戶工作負載的靜態(tài)分析(例如kubernetes資源，Docker文件)

掃描鏡像，找出已知的漏洞

監(jiān)控、日志記錄和運行時安全

在主機和容器級別執(zhí)行系統調用進程和文件活動的行為分析，以檢測惡意活動

檢測物理基礎架構，應用程序，網絡，數據，用戶和工作負載中的威脅

檢測攻擊的所有階段，無論它發(fā)生在哪里，如何擴散

對環(huán)境中的不良行為者進行深入的分析調查和識別

確保容器在運行時不變

使用審計日志來監(jiān)視訪問