浅谈云原生安全

一、云原生安全的层级概念

"4C"

Code-Container-Cluster-Cloud

二、云原生各个层级的安全实践有哪些?

1、针对于Cloud针对的是公有云层面,其实就一点

1、使用主账号子角色,赋予最小权限原则进行资源管理。

2、对于Cluster

1、从Cluster的Node节点的OS开始就找信任和签名的发行版,避免高风险漏洞。例如Suse Linux

2、具备信任和签名的Cluster的发行版,例如:Rke、Rke2

3、使用CIS安全最佳实践对于OS、Cluster进行安全最佳实践处理。例如:benchmaker

4、针对RBAC的admin或者Clusteradmin角色和权限进行严格分发限制。

5、不同节点上的Pod之间 egress/ingress 通信必须存在严格限制的网络策略。

6、建设事件和日志收集和分析、告警平台。

3、对于Container

1、从image构建开始,选择信任和签名的baseimage.

2、build后的image要定期执行安全扫描。

3、推送到的仓库是私有且信任的。

4、pod运行时不允许使用特权容器以及root用户。

5、不允许使用默认的default RBAC角色访问api server.

4、code

1、code在开发时不允许在code中明文或者base64等编码写敏感信息。例如数据库ip地址,用户名和密码。使用env或者k8s 的secret引入。

2、在code构建时,使用信任的构建工具。

3、构建后的产物使用定期使用sonar代码审查(静态扫描)

相关推荐
xixixi777772 小时前
三大 AI 安全里程碑:Akamai 高危风险预警、智能体水印强制落地、PQC 量子安全全产业链统一
大数据·人工智能·安全·ai·大模型·智能体·政策
hz567895 小时前
电子远程评标系统哪家好?安全、合规、易用平台评测指南
安全·云计算·音视频·实时音视频·信息与通信
MartinYeung55 小时前
[论文学习]大语言模型安全综述:攻击、防御、对齐、度量与护栏的深度解析
学习·安全·语言模型
AOwhisky6 小时前
Python 学习笔记(第三期)——流程控制:条件判断与循环结构
运维·笔记·python·学习·云原生·流程控制·循环
Waay7 小时前
Linux 三个核心环境变量配置文件、作用域、生效方式完整梳理
linux·运维·学习·云原生·容器
卓豪终端管理8 小时前
企业数据防泄漏:现代设备控制如何成为终端安全的关键防线
安全
SelectDB9 小时前
云数仓费钱?用 SelectDB Serverless 三步配出秒级弹性,最高降本 70%
数据库·云原生·数据分析
技术不好的崎鸣同学10 小时前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全
CHrisFC11 小时前
2026-07-15-csdn-硕晟LIMS微服务架构设计
微服务·云原生·架构
长不胖的路人甲11 小时前
微服务限流
微服务·云原生·架构