集群安裝

使用網絡安全策略來限制集群級別的訪問

使用CIS基準檢查Kubernetes組件(etcd, kubelet, kubedns, kubeapi)的安全配置

正確設置帶有安全控制的Ingress對象

保護節點元數據和端點

最小化GUI元素的使用和訪問

在部署之前驗證平臺二進制文件

集群強化

限制訪問Kubernetes API

使用基于角色的訪問控制來最小化暴露

謹慎使用服務帳戶，例如禁用默認設置，減少新創建帳戶的權限，經常更新Kubernetes

系統強化

最小化主機操作系統的大小(減少攻擊面)

最小化IAM角色

最小化對網絡的外部訪問

適當使用內核強化工具，如AppArmor, seccomp

微服務漏洞最小化

設置適當的OS級安全域，例如使用PSP, OPA，安全上下文

管理Kubernetes機密

在多租戶環境中使用容器運行時 (例如gvisor, kata容器)

使用mTLS實現Pod對Pod加密

供應鏈安全

最小化基本鏡像大小

保護您的供應鏈：將允許的注冊表列入白名單，對鏡像進行簽名和驗證

使用用戶工作負載的靜態分析(例如kubernetes資源，Docker文件)

掃描鏡像，找出已知的漏洞

監控、日志記錄和運行時安全

在主機和容器級別執行系統調用進程和文件活動的行為分析，以檢測惡意活動

檢測物理基礎架構，應用程序，網絡，數據，用戶和工作負載中的威脅

檢測攻擊的所有階段，無論它發生在哪里，如何擴散

對環境中的不良行為者進行深入的分析調查和識別

確保容器在運行時不變

使用審計日志來監視訪問