TOP10-k8s-安全措施

TOP 1、镜像安全

        镜像中存在什么?

        镜像中存在打包后的code以及base image、tools

        安全建议:

        1、代码中非必须不使用任何多余的tools或者库。

        2、尽量使用小而精且签名的base image.

        3、推送到私有仓库前扫描 docker image.(可以集成在CI/CD的流水线中)

        4、定期对存储在石私有仓库的docker image 镜像进行扫描。

       

Top 2、禁止使用root用户运行

        在编写docker file以及在pod构建时添加安全上下文,不允许使用root用户。

        1、 在编写docker file时创建一个用户专门来跑app.

        2、在配置pod时添加安全上下文,禁止使用root用户运行以及使用userid为1000的普通用户来运行。

Top3、管理用户以及应用程序的权限

        1、针对于人类用户-访问集群资源-debug

                1、使用RBAC

                2、先针对不同角色创建想要可以访问的资源或者动作清单。

                3、通过RBAC创建想要的客户端证书下发到最终用户。

        2、针对于非人类用户-应用程序访问api-server

                1、Service Accout

                2、同样创建想要可以访问的资源或者动作清单。

                3、将权限绑定到相应的Service Account.

        **都使用最小权限原则。

Top4、Network Policy

        1、不是所有pod都需要互相访问

        2、哪怕同一个app都 前端-后端-数据库 也不需要都运行访问

                例如:前段不需要访问数据库,而数据库只允许特定的后段进行访问。

        解决办法:

        1、使用Network Policy限定访问对象以及命名空间。    

        2、使用istio这类服务网格产品的网络边车来解决微服务以及应用层面的网络策略。

Top 5、TLS加密

        一般情况下k8s集群内的应用程序是明文传输,攻击者可以很方便看到集群内部的信息。

        解决办法:

        1、需要访问的服务之间使用TLS加密通信数据。

Top6、加密k8s集群内部的secret

        默认k8s集群内部的secret是base64编码而不是加密。

         解决办法:   

  1. 限制访问:使用 Kubernetes 的 RBAC(Role-Based Access Control)来限制哪些用户和服务可以访问你的 Secret。你应该只允许需要这些 Secret 的服务访问它们。

  2. 加密 etcd:Kubernetes 的所有数据,包括 Secret,都存储在 etcd 中。你应该配置 Kubernetes API 服务器来对 etcd 中的数据进行加密。

  3. 使用外部密钥管理系统:如果可能的话,你应该考虑使用外部的密钥管理系统,如 HashiCorp Vault 或 AWS KMS,来存储你的敏感数据。这些系统提供了更强大的安全性和更细粒度的访问控制。

  4. 定期轮换 Secret:你应该定期更改你的 Secret,并确保旧的 Secret 在被替换后立即失效。

Top7、etcd

        etcd保存着整个k8s集群的几乎所有资源信息,攻击者可以访问etcd那么可以说几乎拥有无限制对于k8s集群的访问权限。

        解决办法:

  1. 限制网络访问:etcd 应该只能被 Kubernetes API 服务器访问,不应该对外部网络开放。你可以使用防火墙规则或网络策略来限制对 etcd 的访问。

  2. 启用 TLS:你应该为 etcd 启用 TLS,以加密所有的通信。这包括 etcd 的客户端到服务器的通信(例如,API 服务器到 etcd 的通信),以及 etcd 集群内部的服务器到服务器的通信。

  3. 使用强密码:如果你启用了 etcd 的身份验证功能,你应该为每个 etcd 用户设置一个强密码。

  4. 定期备份:你应该定期备份 etcd 的数据,以防止数据丢失。你也应该定期测试你的备份恢复流程,以确保它能够正常工作。

  5. 启用审计日志:你应该启用 etcd 的审计日志功能,以记录所有的请求。这可以帮助你检测任何未授权的访问尝试,以及跟踪问题的来源。

  6. 定期更新和打补丁:你应该定期更新 etcd 到最新版本,并及时应用任何安全补丁。这可以帮助你防止已知的安全漏洞。

  7. 使用专用的物理或虚拟机:etcd 应该运行在专用的物理或虚拟机上,不应该与其他应用共享主机。这可以减少 etcd 被其他应用的漏洞所利用的风险。

  8. 限制 etcd 的资源访问:你应该限制 etcd 进程的资源访问,例如文件系统、内核参数等。这可以通过使用 Linux 的安全模块,如 SELinux 或 AppArmor 来实现。

Top8 非基础设施数据库的用户、APP数据

        这个无需多言,最重要的就是数据。

        解决办法:

        1、建立完整的备份机制。(方案越贵越有效)

        2、完整的备份软件具有恢复功能。

        3、最好的办法是建立不可变备份且存储备份的位置要足够安全。

        4、保护数据库本身的同时保护备份!

Top 9 建立容器准入规则

        k8s集群一般由开发团队使用,但运维由云基础架构。怎么按开发人员遵从容器开发安全实践?

        解决办法:

        1、建立容器准入规则。例如OPA,Kubewarden 

        2、上面都工具都具备自动化检查创建和更新的Pod是否符合规则。

Top10  建立网上的容灾机制

        这个不必多说,任何运维人员都想自己的基础设施上跑的应用具备容灾能力。

        1、基础设施容灾

                1、计算资源不超过百分之70,留出余量假设某节点会Down.

                2、服务器双电源

                3、网络吞吐量富余1个物理接口的流量。

                4、所有网络设备均使用高可用方案-堆叠、M-lag

        2、数据容灾

                1、集群数据和用户数据定期备份并且数据备份的位置足够安全。本地1份、异地1份。

                2、备份软件足够可靠且授权足够。

                3、软件具备自动恢复能力。

        3、应用容灾

                1、前段3个副本起步且运行在不同主机上。

                2、后端分类型至少2个副本起步且运行在不同主机上。

                3、有状态集群服务使用亲和性或者逻辑拓扑域至少一个逻辑拓扑域不同的主机上运行。

                4、搭建专门的入口ingress集群.

        

        

        

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/21258.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

模板-初阶

引言: 在C,我们已经学过了函数重载,这使得同名函数具有多个功能。但是还有一种更省力的方法:采用模板。 本文主要介绍以下内容 1. 泛型编程 2. 函数模板 3. 类模板 1.泛型编程 在将这一部分之前,通过一个故事引…

mysql中EXPLAIN详解

大家好。众所周知,MySQL 查询优化器的各种基于成本和规则的优化会后生成一个所谓的执行计划,这个执行计划展示了接下来具体执行查询的方式。在日常工作过程中,我们可以使用EXPLAIN语句来查看某个查询语句的具体执行计划, 今天我们…

数据库索引的理解

目录 1.索引是什么,解决了什么问题 2.索引付出了什么代价 3.如何使用sql索引,有何注意事项 普通索引: 唯一索引: 主键索引(Primary Key Index): 删除索引: 创建主键索引的基本语法: 4.索引背后的数据结构 1.索…

数据结构严蔚敏版精简版-绪论

1.基本概念和术语 下列概念和术语将在以后各章节中多次出现,本节先对这些概念和术语赋予确定的含义。 数据(Data):数据是客观事物的符号表示,是所有能输入到计算机中并被计算机程序处理的符号 的总称。 数据元素(DataElement):…

《Python学习》-- 实操篇一

一、文件操作 1. 1 读取文本文件 # 文件操作模式 # r (默认) - 只读模式。文件必须存在,否则会抛出FileNotFoundError。在这种模式下,你只能读取文件内容,不能写入或追加。 # w - 写入模式。如果文件存在,内容会被清空&#xff…

大模型日报2024-06-02

大模型日报 2024-06-02 大模型资讯 LLM360推出K2:开源大语言模型,计算效率超越Llama 2 70B 摘要: LLM360发布了K2,一款完全可复现的开源大语言模型。K2在计算效率上超越了Llama 2 70B,使用的计算能力减少了35%。这一突破性的模型为…

JAVA: 抽象类和接口

Java中可以可以定义不含方法体的方法,方法的方法体由其所在类的子类根据实际需求去实现,这样的方法称为抽象方法(Abstract Method),包含抽象方法的类必须是抽象类(Abstract Class)。 抽象方法和…

【架构设计】Java如何利用AOP实现幂等操作,防止客户端重复操作

1实现方案详解 在Java中,使用AOP(面向切面编程)来实现幂等操作是一个常见的做法,特别是当你想在不修改业务代码的情况下添加一些横切关注点(如日志、事务管理、安全性等)时。幂等操作指的是无论执行多少次,结果都是相同的操作。 为了利用AOP实现幂等操作以防止客户端重…

基于STM32的水库预警系统的Proteus仿真

文章目录 一、水库预警系统1.题目要求2.思路2.1 OLED显示汉字2.2 水质传感器等等2.3 步进电机2.4 驱动水泵 3.仿真图3.1 未仿真时3.2 开始仿真,OLED开始显示3.3 提高水位,开启阀门和预警3.4 通过按键增大水位阈值,取消报警 4.仿真程序4.1 程序…

轻松拿捏C语言——【文件操作】

🥰欢迎关注 轻松拿捏C语言系列,来和 小哇 一起进步!✊ 🎉创作不易,请多多支持🎉 🌈感谢大家的阅读、点赞、收藏和关注💕 🌹如有问题,欢迎指正 目录 &#x1f…

关于模拟信道和数字信道根本区别的探讨

在学习过程中,了解到模拟信号、数字信号是什么,以及模拟信道只能传输模拟信号,数字信道只能传输数字信号,模拟信道要传输数字信号,需要经过调制解调器将数字信号调制成模拟信号再传输。也了解到,电话线是属…

谨以此文章记录我的蓝桥杯备赛过程

以国优秀结束了蓝桥杯cb组 鄙人来自电信学院,非科班出身,在寒假,大约2024年2月份,跟着黑马程序员将c基础语法学完了,因为过年,事情较多,没在学了。 最初就是抱着拿省三的态度去打这个比赛的&a…

C语言之旅:探索单链表

目录 一、前言 二、实现链表的功能: 打印 创建节点 尾插 尾删 头插 头删 查找 在指定位置之前插入数据 指定位置删除 在指定位置之后插入数据 打印 销毁 三、全部源码: 四、结语 一、前言 链表是一个强大且基础的数据结构。对于很多初…

禁用手机连接 - Win11

问题 Win11系统自带手机连接软件,会在后台自启,不适用于全部的手机型号,而且常规方法无法卸载。甚至任务管理器中,此软件的后台进程高达76个,如下图。下文以Win11系统为例,介绍如何禁用手机连接。 解决方…

考研数学:有些无穷小不能用等价无穷小的公式?

今天要给大家分享的笔记是:《有些无穷小虽然是无穷小,但却不能用无穷小的相关公式》:

Winform GDI+双缓冲绘图与GDI API双缓冲绘图

一、GDI双缓冲绘图 BufferedGraphicsContext GraphicsContext BufferedGraphicsManager.Current;BufferedGraphics myBuffer GraphicsContext.Allocate(e.Graphics, e.ClipRectangle);Graphics g myBuffer.Graphics;Bitmap bitmap bitmaps[index];g.DrawImage(bitmap, 0, 0…

来自大厂硬盘的降维打击!当希捷酷玩520 1TB SSD卷到369,请问阁下该怎么应对?

来自大厂硬盘的降维打击!当希捷酷玩520 1TB SSD卷到369,请问阁下该怎么应对? 哈喽小伙伴们好,我是Stark-C~ 今年4月份的时候因为电脑上的游戏盘突然挂掉,为了性价比选购了希捷酷玩520 1TB SSD,同时我也是…

vue3加axios配合element-plus实现图片等文件本地上传,并获取服务器返回的真实地址数据,前端写法

小白写法嘿嘿 开发工具和关键词 开发工具: vscode 关键词:vue3、element-plus、axios 后端 后端业务逻辑处理使用的是unicloud的云函数,大家可以看我上一篇文章。 思路 1、禁止element-plus的el-upload组件自动上传,变成手动上传…

装修10个容易被遗忘的开关插座位置

雅静说家里开关插座哪些最容易忘记了留?      一共10个,你看看有少的吗,我家水电师父就没有留够      来了又重新补的很麻烦,记得收藏      1,大门口上边留一个,后期可以安装监控      特别家里有老人和小孩,以及经常来快递的      2,弱电箱留…

7. MySQL 视图、索引

文章目录 【 1. 视图 View 】1.1 视图原理1.2 创建视图 CREATE VIEW1.2.1 创建基于单表的视图1.2.2 创建基于多表的视图 1.3 查看视图1.3.1 查看视图的内容1.3.2 查看视图的详细信息 1.4 修改视图 ALTER VIEW1.4.1 修改视图内容1.4.2 修改视图名称 1.5 删除视图 DORP VIEW 【 2…