CyberGlossary

Облачная безопасность

Безопасность Kubernetes

Также известно как: Безопасность K8s

Определение

Защита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.

Kubernetes де-факто стал основным оркестратором cloud-native-нагрузок, поэтому его модель безопасности критична для бизнеса. Ключевые меры: усиление API-сервера (RBAC с минимальными правами, журналы аудита, запрет анонимного доступа), защита kubelet и etcd, применение Pod Security Standards (без привилегированных контейнеров, сокращённые capabilities, не root), NetworkPolicy для изоляции восток–запад, управление секретами через внешний KMS, admission-политики через Kyverno или OPA. Типичные угрозы: открытые dashboards, уязвимые образы, атаки на цепочку поставок через Helm-чарты, побеги из контейнеров и криптомайнеры. Конкретные базисы дают CIS Kubernetes Benchmark и руководство NSA/CISA по hardening.

Примеры

  • Применение restricted Pod Security Standard и NetworkPolicy по умолчанию во всех namespace.
  • Оценка кластера по CIS Benchmark с помощью kube-bench, kubescape или Wiz.

Связанные термины