kubernetes--最小特权原则（POLP）

弓长丿

已于 2023-01-16 16:30:21 修改

阅读量3k

点赞数

分类专栏： kubenetes 文章标签： kubernetes 安全 docker 网络 Powered by 金山文档

于 2023-01-16 16:11:11 首次发布

本文链接：https://blog.csdn.net/m0_57911290/article/details/128705620

版权

kubenetes 专栏收录该内容

21 篇文章 1 订阅

订阅专栏

最小特权原则（(Principle of least privilege，POLP）介绍:

是一种信息安全概念，即为用户提供执行其工作职责所需最小权限等级或许可。最小特权原则被广泛认为是网络安全的最佳实践，也是保护高价值数据和资产特权访问的基本方式。

最小特权原则（POLP）重要性：

1.减少网络攻击面：

当今，大多数高级攻击都依赖于利用特权凭证。通过限制超级用户和管理员权限，最小权限执行有助于减少总体网络攻击面

2.阻止恶意软件的传播：

通过服务器在应用系统上执行最小权限，恶意软件攻击（例如SQL注入攻击）将很难提权来增加访问权限并横向移动破环其他软件、设备

3.有助于简化合规性和审核：

许多内部政策和法规都要求组织对特权账号实施最小权限原则，以防止对关键业务系统的恶意破坏。最小权限执行可以帮助组织证明对特权活动的完整审核跟踪的合规性。

在团队中实施最小特权原则（POLP）:

1.在所有服务器、业务系统中，审核整个环境以查找特权账号（例如SSH账号、管理后台账号、跳板机账号）

2.定期更改管理员账号密码

3.监控管理员账号操作行为，告警通知异常活动

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

弓长丿

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Kubernetes 容器安全最小特权原则POLP AppArmor限制容器对资源访问

小楼一夜听春雨，深巷明朝卖杏花

07-04

864

最小特权原则（POLP）最小特权原则 (Principle of least privilege，POLP) ：是一种信息安全概念，即为用户提供执行其工作职责所需的最小权限等级或许可。最小特权原则被广泛认为是网络安全的最佳实践，也是保护高价值数据和资产的特权访问的基本方式。最小特权原则 (POLP) 重要性 • 减少网络攻击面：当今，大多数高级攻击都依赖于利用特权凭证（提权）。通过限制超级用户和管理员权限，最小权限执行有助于减少总体网络攻击面。 • 阻止恶意软件的传播：

CKS-系统强化-POLP(apparmor)

weixin_45081220的博客

06-22

822

POLP

参与评论您还未登录，请先登录后发表或查看评论

kubernetes 容器运行环境安全 POLP AppArmor Seccomp

sxpnp的博客

01-09

899

如有问题，以你为准

Cluster Hardening - RBAC

saynaihe的博客

03-18

550

注：通过RBAC对集群进行加固关于RBAC RBAC-role based access control 基于角色的访问控制注：ABAC（基于属性的访问控制），ABAC木有接触过… 1. Introduction to RBAC RBAC介绍 "Role-based access control (RBAC) is a method of regulating accessto computer or network resources based on the roles of individua

Kubernetes安全专家认证 (CKS)考试动员

爱死亡机器人

01-08

5239

文章目录1. 要求2. 考点内容3. 需要掌握内容3.1 群集设置 10%3.2 群集强化 15%3.3 系统强化 15%3.4 最小化微服务漏洞 20%3.5 供应链安全 20%3.6 监控、审计和runtime 20%4. 考试资料 1. 要求考试模式：线上考试考试时间：2小时认证有效期：2年软件版本：Kubernetes v1.19 系统：Ubuntu 18.4 有效期：考试资格自购买之日起12个月内有效重考政策：可接受1次重考经验水平：中级 2. 考点内容集群安装：10% 使用网..

kubernetes之Apparmor

qq_40859395的博客

01-02

821

容器运行使用的是宿主机的CPU、内存、内核等资源。在容器中的操作也和影响到操作系统上，同样，在操作系统中的漏洞也肯恩影响到容器的运行。例如，容器运行时和加载底层操作系统的linux内核中的模块，如果宿主机linux的内核中加载了有扣动的模块，则会影响到容器的安全，所以我们也需要在操作系统层面进行加固。一、最小权限原则最小权限原则(Principle of least privilege,POLP)：是一种信息安全概念，即为用户提供执行其工作职责的最小权限等或许可。最小权限原则被广泛认为是

Dockerfile 由浅入深, 理解 docker build, dockerfile 最佳实践思想

aifeier的博客

12-27

1238

不要安装无效软件包。应简化镜像中同时运行的进程数，理想状况下，每个镜像应该只有一个进程。当无法避免同一镜像运行多进程时，应选择合理的初始化进程（initprocess）。最小化层级数把多行参数按字母排序，可以减少可能出现的重复参数，并且提高可读性。编写dockerfile的时候，应该把变更频率低的编译指令优先构建以便放在镜像底层以有效利用buildcache。复制文件时，每个文件应独立复制，这确保某个文件变更时，只影响改文件对应的缓存。Dockerfile 可以看成构建镜像的一条条指令, 结合 docker

基于身份的安全访问解决方案～Boundary

m0_48368237的博客

01-30

478

Boundary 提供了一种访问主机和关键系统的安全方案，无需管理凭证或公开网络，由 HashiCorp 开源。 Boundary 旨在使用最小特权原则 (POLP, principle of least privilege) 授予对关键系统的访问权限，以解决组织或企业在用户需要安全访问应用程序和机器时遇到的挑战。使用 Boundary，访问基于用户的可信身份而不是他们的网络位置而进行。用户连接到 Boundary 并进行身份验证，然后根据被分配的角色，他们可以连接到可用的主机、服务或云资源。 Boun

Kubernetes的现代操作系统。-Golang开发

05-26

一些是：安全性：通过实践最低特权原则（PoLP）并强制执行相互TLS（mTLS）来减少攻击面。可预测性：使用不变的基础架构，删除不必要的变量并减少环境中的未知因素。演化能力：简化并增强您轻松适应未来变化的能力

云原生应用的最小特权原则

wolaisongfendi的博客

12-02

405

最小权限原则 (PoLP) 是一种信息安全概念，即为用户提供执行其工作职责所需的最小权限等级或许可，是所有现代云原生应用程序都应遵守的重要操作安全要求。

esp-idf-v5.1.1 空中升级OTA例程

MyLovelyJay的博客

11-27

297

esp-idf-v5.1.1 空中升级OTA例程

零信任的原则就是“在经过验证之前不要信任任何人。”

Lydiasq的博客

10-27

431

零信任最初是Forrester Research分析师John Kindervag于2010年提出，他认为所有的网络流量都必须是不可信的。在传统的 IT 安全模型中，一个组织的安全防护像是一座城堡，由一条代表网络的护城河守护着。在这样的设置中，很难从网络外部访问组织的资源。同时，默认情况下，网络内的每个人都被认为是可信的。然而，这种方法的问题在于，一旦攻击者获得对网络的访问权，并因此默认受到信任，那么组织的所有资源都面临着被攻击的风险。

【ROS2原理16】SROS 2 访问控制策略

gongdiwudu的专栏

08-21

6196

SROS 2 引入了几个安全属性，包括加密、身份验证和授权。授权是通过将前两个属性与访问控制模型相结合来获得的。这种模型通常被称为访问控制策略。策略充当与属性相关联的特权的高级抽象，然后可以将其转换为个人身份的低级权限，例如安全 DDS 网络中的特定 ROS 节点。

TensorRT-LLM的k8s弹性伸缩部署方案

最新发布

smartcat2010的博客

11-02

227

从Service的triton metrics端口（8002）那里拿到metrics指标（queue time, compute time)，计算得到新指标（二者的比率）；1. Deployment：跑起来N个pod；指定NVIDIA官方的triton&trt-llm的docker image，指定好model放在哪个volume里；4. HPA(Horizontal Pod Autoscaler，水平扩展）：根据Prometheus的指标数值，和预先配置好的阈值，来自动新增pod或减少pod；

Kubeadm搭建k8s

YCyjs的博客

10-29

1207

kubectl需经由API server认证及授权后方能执行相应的管理操作，kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf，它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。上传 harbor-offline-installer-v1.2.2.tgz 和 docker-compose 文件到 /opt 目录。所有节点上传flannel镜像 flannel.tar 到 /opt 目录，

国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)

11-02

552

国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)

Centos7搭建k8s集群

ct1027038527的专栏

10-29

946

然后在需要加入集群的节点中执行令牌，注意这里的命令是通过kubeadm token create --print-join-command命令返回的结果。sed -i 's/enforcing/disabled/' /etc/selinux/config # 永久。逻辑是： deployment ------>副本 -----> pod (运行容器的基本资源对象)# 在工作节点上执行以下命令即可加入集群。执行创建deployment。删除deployment。创建deployment。

k8s 查看cpu使用率最高的pod

u010674101的专栏

10-31

519

在 Kubernetes 中，可以使用命令查看 Pod 的资源使用情况，从而找到 CPU 使用率最高的 Pod。

K8s 容器的定向调度与亲和性

KubeSphere

10-30

1166

K8s 集群节点 CPU 使用率高！内存溢出（OOM）！宕机！导致大量微服务瘫痪怎么办？可能是调度策略没做好，看完这篇文章掌握提高集群稳定性的管理诀窍。Kubernetes（K8s）是一个开源的容器编排工具，而容器调度是其非常重要的特性，所谓的调度是指将容器（Pod）分配到集群中的节点上运行的过程。为了更好地控制容器的调度，K8s 提供了多种调度策略，其中包括定向调度和亲和性策略。在实际的 K8s 集群维护场景中，合理使用这些调度策略，对集群的稳定性至关重要。

针对数据安全领域，如何利用创新供应商提供的技术减小攻击面，同时提高数据在使用中的保护效率？

10-26

这可以通过基于角色的访问控制（RBAC）、最小权限原则（POLP）和数据脱敏技术来实现，确保数据共享的同时降低泄露风险。 5. **集成和自动化**：集成创新供应商的产品与现有安全基础设施，实现自动化安全流程。自动...