第一章 CIS 安全基准-网络访问控制

最新推荐文章于 2022-12-22 21:15:14 发布
最新推荐文章于 2022-12-22 21:15:14 发布
阅读量974 收藏
点赞数
分类专栏: k8s安全 文章标签: 安全 网络 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26489043/article/details/127684041
版权

• 网络策略应用场景
• 网络策略概述
• 网络访问控制5个案例

网络访问控制:应用场景

默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制,
减少网络攻击面,提高安全性,这就会用到网络策略。
网络策略(Network Policy):是一个K8s资源,用于限制Pod出入流量,提供Pod级别和Namespace级别网络访问控制。
网络策略的应用场景:
• 应用程序间的访问控制,例如项目A不能访问项目B的Pod
• 开发环境命名空间不能访问测试环境命名空间Pod
• 当Pod暴露到外部时,需要做Pod白名单
• 多租户网络环境隔离

网络访问控制:网络策略概述

在这里插入图片描述

网络访问控制:网络策略概述

在这里插入图片描述

网络访问控制案例

案例1:拒绝命名空间下所有Pod入、出站流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-all
namespace: test
spec:
podSelector: {} # 匹配本命名空间所有pod
policyTypes: 
- Ingress
- Egress
# ingress和egress没有指定规则,则不允许任何流量进出pod

案例2:拒绝其他命名空间Pod访问

需求:test命名空间下所有pod可以互相访问,也可以访问其他
命名空间Pod,但其他命名空间不能访问test命名空间Pod。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-all-namespaces 
namespace: test
spec:
podSelector: {} 
policyTypes:
- Ingress
ingress:
- from:
- podSelector: {} # 匹配本命名空间所有pod

案例3:允许其他命名空间Pod访问指定应用

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-all-namespaces 
namespace: test
spec:
podSelector: 
matchLabels:
app: web
policyTypes:
- Ingress
ingress:
- from:
- namespaceSelector: {} # 匹配所有命名空间的pod

案例4:同一个命名空间下应用之间限制访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: app-to-app
namespace: test
spec:
podSelector:
matchLabels:
run: web
policyTypes:
- Ingress
ingress:
- from:
- podSelector:
matchLabels:
run: client1
ports:
- protocol: TCP
port: 80

案例5:只允许指定命名空间中的应用访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: dev-web
namespace: dev
spec:
podSelector:
matchLabels:
env: dev
policyTypes:
- Ingress
ingress:
# 满足允许prod命名空间中的pod访问
- from:
- namespaceSelector:
matchLabels:
env: prod
# 允许pod标签为app=client1的pod访问,所有命名空间
- from:
- namespaceSelector: {}
podSelector:
matchLabels:
app: client1
三成讲技术
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CIS 2020—云安全现状与可信云安全标准体系解读
afei001
12-31 342
目录 1.云计算现状 2.云计算安全重要性 3.云原生安全 4.可信云安全标准 5.云安全未来展望 CIS 2020虽有票,但由于工作和其他原因,没有到现场参加活动... 1.云计算现状 afei 2.云计算安全重要性 afei afei 3.云原生安全 afei 4.可信云安全标准 afei 5.云安全未来展...
CIS docker 安全标准
02-15
CISdocker 安全标准。本文档适用于系统和应用程序管理员,安全专家, 计划开发,部署的审计员,服务台和平台部署人员 评估或保护包含Docker CE 17.06或更高版本技术的解决方案。
k8s CIS安全基准与使用
砚墨
07-03 1312
CIS安全介绍 互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网:https://www.cisecurity.org/ Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes/ 使用CIS基准测试工具 在如上图下载pdf说明后。可参考基本标准对集群配置进行检查,内容较多,一般会会采用相关工具kube-bench来完成这项工作。 K
CISredhat linux 7 安全基线
11-03
来自CIS的红帽7.0企业安全基准基准线,可供参考.
互联网安全中心(CIS)发布新版20大安全控制
weixin_34233421的博客
11-19 1075
这些最佳实践最初由SANS研究所提出,名为“SANS关键控制”,是各类公司企业不可或缺的安全控制措施。通过采纳这些控制方法,公司企业可防止绝大部分的网络攻击。 有效网络防御的20条关键安全控制 对上一版“20大安全控制”的研究表明,仅仅采纳前5条控制措施,就能阻止85%的攻击。20条全部采纳,可阻止97%的网络攻击。这一版的主要目的之一,是要与每套控制措施的工作流保持一致。即便在内容上改动不大...
cis-docker-benchmark:CIS Docker基准-InSpec配置文件
02-01
CIS Docker基准测试-InSpec配置文件描述此合规性配置文件以自动化方式实现,以在生产环境中围绕Docker守护程序和容器提供安全性最佳实践测试。 InSpec是一种开源运行时框架和规则语言,用于指定合规性,安全性和策略...
cis-dil-benchmark:CIS发行独立Linux基准-InSpec配置文件
05-13
CIS发行独立Linux基准-InSpec配置文件 描述 此配置文件实现了。 属性 要在CIS配置文件级别之间切换,可以使用以下属性: cis_level: 2定义要使用的配置文件级别,可接受的值为1和2 。 执照和作者 作者:Kristian ...
CIS-Apache-HTTP-Server-2.4-Benchmark-V2.1.0-PDF.PDF
最新发布
08-17
**Apache HTTP Server 2.4安全基准V2.1.0概述** Apache HTTP Server是全球最广泛使用的Web...这个基准不仅提供了安全控制列表,还为每个控制提供了深入的背景知识和实现指南,使得安全配置过程更为系统化和可操作。
2022 CIS 春日网络安全创新大会分享PPT
03-15
此外,零信任模型的引入也是保障数据安全的新趋势,它要求不断验证所有网络访问请求,无论来源何处。 3. **安全合规**: 遵守法律法规和行业标准是确保网络安全的重要环节。如GDPR(欧洲通用数据保护条例)等法规...
基线核查-cis cat lite -v3.0.50
07-17
CIS(Center for Internet Security,互联网安全中心)是一个全球性的非营利组织,致力于提供网络安全最佳实践和基准。 【CIS CAT Lite - v3.0.50】是CIS提供的一个工具,全称为"CIS Controls Automated Assessment...
securekickstarts:基于 CIS 安全基准安全启动
06-17
CIS 安全基准测试启动 该存储库中的 kickstart 文件将为您提供一个满足几乎所有评分标准的系统。 不计分的检查被排除在外,我还排除了对大多数环境没有意义的调整(有关详细信息,请参阅 kickstart 中的注释)。 免责声明 kickstart 文件是 Apache 2 许可的 我与互联网安全中心没有任何关系 这些 kickstart 未经 Internet 安全中心批准 这些启动可能不会使您的系统比开始之前更安全 这些启动可能会导致您的服务器离开机架并追逐汽车 要求和注意事项 目前,kickstarts 是为基于 KVM 的环境设置的。 如果这对您的服务器环境不准确,请在 kickstart 中查找此字符串: --driveorder=vda 更改vda以反映适合您环境的任何内容。 例如,您可能希望将其更改为xvda用于 Xen VM)或sda用于具有 SATA 驱动器的物
CIS 系统基线
12-06
CIS(互联网安全中心) 最新系统基线标准,包含主流操作系统(AIX、redhat、oracle_linux、centos、ubuntu、debian、windows7、windows8、windows10)以及Kubernetes
第一章 CIS 安全基准-kube-beach
三成的博客
11-04 495
k8s安全
CIS安全基准介绍与K8s安全基准工具
热门推荐
m0_57911290的博客
12-22 1万+
互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供 免费的安全防御解决方案。官网:https://www.cisecurity.org/Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes使用指南,里面提供了如linux等安全加固方案。
安全资讯】企业网络安全的18项CIS关键安全控制措施
翼安研习社的博客
12-03 564
作者|安全牛 来源|51CTO.com 发布时间|2021-11-30 互联网安全中心 (Center for Internet Security,简称CIS)控制措施是国际计算机安全领域重要的应用实践标准之一,旨在通过将风险降低到可接受水平,来帮助企业组织应对普遍存在并且后果较严重的网络威胁。在CIS发布的第八版网络安全关键安全控制措施中,通过将新规则与IT和安全行业结合,将企业开展网络安全建设时的关键控制措施建议从20个减少为18个。 CIS关键安全控制的价值 CIS关键安全控制不是为未经授权的.
iscis网络磁盘共享
owlcity123的博客
08-23 1582
  服务器端: 1.创建一个新的大小为2G的磁盘分区为远程用户提供硬盘存储资源(应该保证服务器存储资源的稳定性和可用性,否则一旦远程用户在使用过程中出现故障,那排错维修起来的难度相比较本地硬盘设备来讲是要复杂困难很多的) 2.安装iscsi服务 3.配置iSCSI服务端共享资源,targetcli是用于管理iSCSI服务端存储资源的专用配置命令,它能够提供将iSCSI共享资源的...
RHEL 8 - CIS安全合规基线、SCAP、SSG和合规扫描、漏洞扫描
多恩斯基的博客
02-12 4467
CIS(互联网安全中心)提供各种网络安全相关服务。它制作了基准以保护系统免受当今不断变化的网络威胁。 这些基准以PDF的形式免费提供给CIS成员,这些内容是可读的但不能直接被扫描工具使用。CIS为付费会员提供了一些XCCDF1格式的基准,可以被工具使用。不过这些基准不包含改变服务器状态以达到合规性所需的自动化和补救步骤。为此Red Hat向用户生产“scap-security-guidelines”软件包,它包含了基准扫描合规性、自动化和补救结果所需的内容。 openscap-scanner: 扫描工具。
Kubernetes 组件安全 CIS基准以及kube-beach使用
小楼一夜听春雨,深巷明朝卖杏花
06-23 1974
CIS安全基准 互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网:https://www.cisecurity.org/ Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes/ 对每个组件定义了安全配置,针对每个组件都有具体的规则和建议如何更加规范的配置保证集群的安全CIS基准测试工具 下载.
CKS学习笔记-CIS基准及使用
weixin_43394724的博客
10-09 842
概述 CIS安全基准 互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网: cisecurity.org Kubernetes CIS基准: Resources • Platforms • Kubernetes kube-bench 互联网安全中心为保护代码的最佳实践提供了许多指南和基准测试。CIS 发布了Kubernetes的基准,即对这些测试的新开源实现:kube-bench。 它是作为 Go 应用程序
CIS MySQL 4.1-5.1社区版安全配置基准1.0.2发布
CIS是一个致力于网络安全的组织,其产品和服务,包括这份基准,是作为公共服务提供给全球互联网用户的。 该工具的核心是"Security Configuration Benchmark",它通过一套精心设计的检查列表,对MySQL服务器的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值