浅谈云原生安全

一、云原生安全的层级概念

"4C"

Code-Container-Cluster-Cloud

二、云原生各个层级的安全实践有哪些?

1、针对于Cloud针对的是公有云层面,其实就一点

1、使用主账号子角色,赋予最小权限原则进行资源管理。

2、对于Cluster

1、从Cluster的Node节点的OS开始就找信任和签名的发行版,避免高风险漏洞。例如Suse Linux

2、具备信任和签名的Cluster的发行版,例如:Rke、Rke2

3、使用CIS安全最佳实践对于OS、Cluster进行安全最佳实践处理。例如:benchmaker

4、针对RBAC的admin或者Clusteradmin角色和权限进行严格分发限制。

5、不同节点上的Pod之间 egress/ingress 通信必须存在严格限制的网络策略。

6、建设事件和日志收集和分析、告警平台。

3、对于Container

1、从image构建开始,选择信任和签名的baseimage.

2、build后的image要定期执行安全扫描。

3、推送到的仓库是私有且信任的。

4、pod运行时不允许使用特权容器以及root用户。

5、不允许使用默认的default RBAC角色访问api server.

4、code

1、code在开发时不允许在code中明文或者base64等编码写敏感信息。例如数据库ip地址,用户名和密码。使用env或者k8s 的secret引入。

2、在code构建时,使用信任的构建工具。

3、构建后的产物使用定期使用sonar代码审查(静态扫描)

相关推荐
虹科数字化与AR33 分钟前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
年薪丰厚1 小时前
如何在K8S集群中查看和操作Pod内的文件?
docker·云原生·容器·kubernetes·k8s·container
zhangj11251 小时前
K8S Ingress 服务配置步骤说明
云原生·容器·kubernetes
Hacker_Fuchen1 小时前
天融信网络架构安全实践
网络·安全·架构
岁月变迁呀1 小时前
kubeadm搭建k8s集群
云原生·容器·kubernetes
墨水\\1 小时前
二进制部署k8s
云原生·容器·kubernetes
Source、1 小时前
k8s-metrics-server
云原生·容器·kubernetes
炫彩@之星1 小时前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固
颜淡慕潇1 小时前
【K8S问题系列 |19 】如何解决 Pod 无法挂载 PVC问题
后端·云原生·容器·kubernetes
ProtonBase1 小时前
如何从 0 到 1 ,打造全新一代分布式数据架构
java·网络·数据库·数据仓库·分布式·云原生·架构