1. 核心安全原则
最小权限原则:使用 Role-Based Access Control (RBAC) 限制用户和系统权限
网络隔离:通过 Calico 或 Cilium 实现 Pod 网络策略
镜像安全:启用ImagePolicyWebhook进行镜像扫描
2. 安全实践清单
- 部署前启用 Pod Security Admission
- 配置 Secrets 管理 用 Vault 或 AWS KMS
- 定期更新 kubelet 和容器运行时
- 启用 Audit Logs 监控敏感操作
- 部署 Pod Disruption Budget 防止服务中断
3. 常见威胁防御
🔒 拒绝服务攻击:限制 API Server QPS 和 Burst
🛠️ 配置泄露:使用 Kubernetes Secrets 而非明文配置
🔄 版本漏洞:通过 Helm charts 管理依赖版本
⚠️ 特权提升:禁用 allowPrivilegeEscalation 容器安全选项
4. 扩展阅读
深入解析 Kubernetes 安全模型
容器运行时安全配置指南