Kubernetes生产实战(十六)：集群安全加固全攻略

Kubernetes集群安全加固全攻略：生产环境必备的12个关键策略

在容器化时代，Kubernetes已成为企业应用部署的核心基础设施。但根据CNCF 2023年云原生安全报告显示，75%的安全事件源于K8s配置错误。本文将基于生产环境实践，系统讲解集群安全防护体系。

一、网络安全纵深防御

1）精细化网络策略控制

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: db-allow-specific
spec:
  podSelector:
    matchLabels:
      role: database
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: web-service
    ports:
    - protocol: TCP
      port: 5432

• 使用Calico/Cilium等CNI插件实施NetworkPolicy，限制Pod间东西向流量（如禁止前端Pod直连数据库）
• 生产案例：default-deny-all策略+白名单控制，仅开放必要端口

2）节点级防火墙配置

• 控制平面节点仅开放6443（API Server）、2379-2380（etcd）端口
• Worker节点限制kubelet API（10250/TCP）仅内网访问

二、身份认证与权限控制

1）API Server安全加固

• 强制启用TLS双向认证，禁用匿名访问
• 集成企业AD/LDAP实现统一身份认证（OIDC方案）

2）RBAC权限设计原则

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    audit.example.com/reason: "集群管理员权限"

• 遵循最小权限原则，开发人员仅限namespace级别操作
• 关键操作审计：创建ClusterRole时添加审计注解

三、容器镜像安全体系

1）私有仓库+安全扫描

• 搭建Harbor仓库启用漏洞扫描，阻断高风险镜像入集群
• CI/CD流程集成Trivy扫描，高危CVE自动终止流水线

2）镜像签名验证

cosign verify --key public-key.pem your-registry/image:tag

• 使用cosign实现镜像签名，部署时验证签名有效性

四、运行时安全防护

1）Pod安全标准（PSA）

apiVersion: v1
kind: Namespace
metadata:
  labels:
    pod-security.kubernetes.io/enforce: restricted

• 替代已废弃的PSP，启用内置的Baseline/Restricted策略

2）安全上下文配置

securityContext:
  runAsNonRoot: true
  capabilities:
    drop: ["ALL"]

• 禁止特权容器，设置readOnlyRootFilesystem

五、数据安全与加密

1）etcd加密最佳实践

apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
  - resources:
    - secrets
    providers:
    - aescbc:
        keys:
        - name: key1
          secret: <BASE64_ENCODED_KEY>

• 启用静态加密保护Secret数据

2）Secret管理方案

• 使用Vault+CSI驱动实现动态密钥注入，避免硬编码

六、持续监控与审计

1）审计日志分析

apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata
  verbs: ["*"]

• 记录所有API请求，关联用户身份和操作时间

2）实时入侵检测

• 部署Falco监控异常容器行为（如宿主机文件访问）

七、基础设施加固

1）节点安全基线

• 定期更新OS内核，使用 hardened 内核（如Ubuntu Pro）
• 禁用swap，配置AppArmor/SELinux

2）组件版本管理

• 使用kubeadm certs renew自动更新证书
• 通过kubepug检测废弃API版本

生产环境Checklist

✅ 网络策略覆盖所有业务Pods
✅ RBAC权限每季度审计
✅ 镜像扫描集成到CI/CD门禁
✅ etcd启用静态加密
✅ 启用PSA并设置namespace安全标签

通过以上多层防护体系，可有效构建零信任的Kubernetes安全架构。建议每季度进行渗透测试，持续优化安全策略。