云安全
Kubernetes 安全
别称: K8s 安全
定义
对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。
Kubernetes 已成为云原生工作负载的事实标准编排器,其安全模型对业务至关重要。关键控制点包括加固 API Server(RBAC 最小权限、审计日志、禁止匿名访问)、保护 kubelet 与 etcd、强制 Pod Security Standards(禁止特权容器、限制 Linux capabilities、非 root 用户)、用网络策略实现东西向隔离、通过外部 KMS 管理密钥,以及使用 Kyverno 或 OPA 实现准入策略。常见威胁包括暴露的 Dashboard、存在漏洞的镜像、对 Helm Chart 的供应链攻击、容器逃逸和挖矿恶意软件。CIS Kubernetes Benchmark 与 NSA/CISA 加固指南提供了具体的基线参考。
示例
- 在所有命名空间默认启用受限 Pod Security Standard 与 NetworkPolicy。
- 使用 kube-bench、kubescape 或 Wiz 按 CIS Benchmark 给集群打分。
相关术语
容器安全
保护容器镜像、镜像仓库、编排平台以及容器运行时环境的一整套实践。
CWPP(云工作负载保护平台)
一种保护云端工作负载(虚拟机、容器和无服务器函数)从构建到运行时整个生命周期的平台。
CNAPP(云原生应用保护平台)
一种集成式安全平台,融合 CSPM、CWPP、CIEM、IaC 扫描与运行时检测,用于保护云原生应用从构建到运行时的全过程。
云安全
用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。
Microsegmentation
Microsegmentation — definition coming soon.
基于角色的访问控制(RBAC)
一种将权限授予角色而非直接授予用户的授权模型,用户通过被指派到角色而继承相应权限。