TOP10-k8s-安全措施

TOP 1、镜像安全

        镜像中存在什么？

        镜像中存在打包后的code以及base image、tools

        安全建议：

        1、代码中非必须不使用任何多余的tools或者库。

        2、尽量使用小而精且签名的base image.

        3、推送到私有仓库前扫描 docker image.(可以集成在CI/CD的流水线中)

        4、定期对存储在石私有仓库的docker image 镜像进行扫描。

       

Top 2、禁止使用root用户运行

        在编写docker file以及在pod构建时添加安全上下文，不允许使用root用户。

        1、 在编写docker file时创建一个用户专门来跑app.

        2、在配置pod时添加安全上下文，禁止使用root用户运行以及使用userid为1000的普通用户来运行。

Top3、管理用户以及应用程序的权限

        1、针对于人类用户-访问集群资源-debug

                1、使用RBAC

                2、先针对不同角色创建想要可以访问的资源或者动作清单。

                3、通过RBAC创建想要的客户端证书下发到最终用户。

        2、针对于非人类用户-应用程序访问api-server

                1、Service Accout

                2、同样创建想要可以访问的资源或者动作清单。

                3、将权限绑定到相应的Service Account.

        **都使用最小权限原则。

Top4、Network Policy