K8s Security Best Practices-K8S安全最佳实践-低调大师

K8s Security Best Practices-K8S安全最佳实践

2021-05-13 619

关于安全-写在前面的：
Security is complex and a process 安全是复杂的，而且是一个过程
1. Security combines many diffenrent things 安全结合了许多不同的东西
2. Environments change,security cannot stay in a certain state 环境变化，安全性不能保持一定状态
3. Attackers have advantage ***者有优势
  3.1 . They decide time 他们决定的时间（任意时间）
  3.2. They pick what to attack ,like weakest link 他们选择要***的内容，例如最薄弱的环节

1. Security Principles 安全原则

Defense in depth 深度防御
Least Privilege 最小权限原则
Limiting the Attack Surface 限制***面
Layered defence and Redundancy 分层防御和冗余

2. K8s Security Categories k8S安全分类

2.1 Host OS Security 宿主机操作系统安全

 1. kubernets Node should only do one thing :  Kubernetes 
    kubernets节点应该只运行kubernets
    1.1. Reduce Attack Surface   减少***面             
    1.2. Remove unnecessary applications   移除不必要的应用                          
 2. Keep up to date     保持升级
 3. Rutime security tools     运行时安全工具
 4. Find and identify malicious processes  查找和识别恶意进程
 5. Restrict IAM  ssh access      限制IAM(Identity and Access Management  身份识别与访问管理服务) 与SSH访问

2.2 Kubernetes Cluster Security k8s集群安全

kubernetes components are runing secure and up-to-data kubernetes集群组件保持安全和最新的运行

1. apiserver
2. kubelet
3. etcd

Restrict(external)access 限制（外部）访问
use authentication ->authorization 使用身份认证授权
Admission Controllers 控制器准入？
noderestriction 节点限制
custom policies(opa) 自定义规则
Enable Audit Logging 启用审计日志记录
Security Benchmarking 安全基线测试

由此可见最新的还是很重要的，老的版本会有漏洞，有必要保证组件版本的更新升级

一个通过 pod ***etcd的例子展现与etcd的安全策略：
加密etcd
限制访问etcd
加密与etcd的通信

2.3 Application Security 应用安全

 1. Use Secrets /no hardcoded credentials  使用secrets秘钥 而不是硬编码的凭据

 2. RBAC                       基于角色的访问控制
 
 3. Container Sandboxing                          容器沙盒

 4. Container Hardening                            容器加固

   4.1 Attack Surface                             ***表面
   
   4.2 Run as user                                 作为用户运行 no root
   
   4.3 Readonly filesystem                    只读的文件系统
   
5. Vulnerability Scanning                         漏洞扫描

6. MTLS/ServiceMeshes                          双向认证/服务网格在这里插入代码片

微信关注我们

原文链接：https://blog.51cto.com/u_1153710/2774417

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Foudation -kubernetes secure Architecture-基础 kuberntes安全架构

1. docker Architecture 1.runcontainerincontainerengine-在容器引擎中运行容器 2.Schedulecontainerseffcient-高效的调度容器 3.Keepcontainersaliveandhealth-保持容器的存活和健康 4.Allowcontainercommunication-允许容器的通信 5.Allowcommondeploymenttechniques-允许通用的部署技术 6.handlevolumes-处理卷 2. kubernetes Architecture 2.1 Contarol Plance Contarol Plance-控制平面，简单的不知道我理解的对不对为master节点上面的etcd scheduler apiserver controler manager 。至于cloud control manager我理解是使用云商托管的kubernets 比如腾讯云的 cke还有阿里云的ack 都有类似的kubernets的托管服务。见： https://kubernetes.io/docs/c...

2021-05-13

619

滚动监听 better-scroll 无法滚动的分析，直接翻到最后，看问题汇总，希望能帮助你解决。借用一下人家这个好看的项目图片，做一个解释。左边的内容会跟右边的内容一起关联，点击左边的菜单，右边会滚动到对应菜单的内容区域；滚动右边的内容，左边会滚动到对应的菜单项。就是这个简单的左右关联的项目。方法提供了两个。 jq的方法：定义两个方法：滚动的一个方法，和点击的方法。滚动方法： const_scrollMethod=function(){ document.addEventListener('scroll',function(e){ e.preventDefault(); letsectionTitle=$('.icl-section-list-contents');//获取到list的内容，下面将对这个列表做遍历 letscreenHeight=$(window).height(); letscrollTop=$(window).scrollTop(); letscrollHeight=$(document).height(); letsectionTitleHeigh...

2021-05-13

626

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。