安全性
Kubernetes 文件的此章節旨在協助您學習更安全地執行工作負載,以及了解保持 Kubernetes 叢集安全的基本面向。
Kubernetes 基於雲原生架構,並借鑒了雲原生運算基金會 (CNCF)關於雲原生資訊安全良好實務的建議。
閱讀雲原生安全性與 Kubernetes,以了解關於如何保護您的叢集以及您在其上執行的應用程式的更廣泛背景資訊。
Kubernetes 安全性機制
Kubernetes 包含多個 API 和安全性控制,以及定義原則的方法,這些方法可以構成您管理資訊安全的一部分。
控制平面保護
任何 Kubernetes 叢集的關鍵安全性機制是控制對 Kubernetes API 的存取。
Kubernetes 期望您設定並使用 TLS,以在控制平面內部以及控制平面與其用戶端之間提供傳輸中資料加密。您也可以為 Kubernetes 控制平面內儲存的資料啟用靜態加密;這與為您自己的工作負載資料使用靜態加密是分開的,後者也可能是一個好主意。
密鑰
密鑰 API 為需要機密性的組態值提供基本保護。
工作負載保護
強制執行Pod 安全性標準,以確保 Pod 及其容器得到適當的隔離。如果您需要,也可以使用執行期類別來定義自訂隔離。
網路原則可讓您控制 Pod 之間,或 Pod 與叢集外部網路之間的網路流量。
您可以從更廣泛的生態系統部署安全性控制,以實作關於 Pod、其容器以及其中執行的映像檔的預防性或偵測性控制。
稽核
Kubernetes 稽核日誌提供了一組與安全性相關、依時間順序排列的記錄,用於記錄叢集中一連串的操作動作。叢集會稽核由使用者、使用 Kubernetes API 的應用程式以及控制平面本身所產生的活動。
雲端供應商安全性
如果您在自己的硬體或不同的雲端供應商上執行 Kubernetes 叢集,請查閱您的文件以取得安全性最佳實務。以下是一些熱門雲端供應商安全性文件的連結
| IaaS 供應商 | 連結 |
|---|---|
| 阿里巴巴雲 | https://www.alibabacloud.com/trust-center |
| Amazon Web Services | https://aws.amazon.com/security |
| Google Cloud Platform | https://cloud.google.com/security |
| 華為雲 | https://www.huaweicloud.com/intl/en-us/securecenter/overallsafety |
| IBM Cloud | https://www.ibm.com/cloud/security |
| Microsoft Azure | https://docs.microsoft.com/en-us/azure/security/azure-security |
| Oracle Cloud Infrastructure | https://www.oracle.com/security |
| VMware vSphere | https://www.vmware.com/security/hardening-guides |
原則
您可以使用 Kubernetes 原生機制定義安全性原則,例如 NetworkPolicy(對網路封包過濾的宣告式控制)或 ValidatingAdmissionPolicy(對某人可以使用 Kubernetes API 進行的變更的宣告式限制)。
然而,您也可以仰賴 Kubernetes 周邊更廣泛生態系統的原則實作。Kubernetes 提供了擴充機制,讓這些生態系統專案能夠在其原始碼審查、容器映像檔核准、API 存取控制、網路等等方面實作自己的原則控制。
關於原則機制和 Kubernetes 的更多資訊,請閱讀原則。
下一步
瞭解與 Kubernetes 安全性相關的主題
- 保護您的叢集安全
- Kubernetes 中的已知漏洞(以及進一步資訊的連結)
- 控制平面的傳輸中資料加密
- 靜態資料加密
- 控制對 Kubernetes API 的存取
- Pod 的網路原則
- Kubernetes 中的密鑰
- Pod 安全性標準
- RuntimeClasses
瞭解上下文
取得認證
- Kubernetes 安全專家認證和官方培訓課程。
在此章節中閱讀更多內容
此頁面上的項目指的是提供 Kubernetes 所需功能的第三方產品或專案。Kubernetes 專案作者不對這些第三方產品或專案負責。有關更多詳細資訊,請參閱 CNCF 網站指南。
在提出新增額外第三方連結的變更之前,您應閱讀內容指南。