一、升级K8s版本和组件

原因：K8s新版本通常会引入一系列安全功能，提供关键的安全补丁，能够补救已知的安全风险，减少攻击面。

操作：将K8s部署更新到最新稳定版本，并使用到达stable状态的API。

二、启用RBAC（基于角色的访问控制）

原因：RBAC可以限制用户对集群资源的访问权限，避免未经授权的操作。

操作：①创建命名空间。②创建服务账户。③创建角色并绑定权限。

三、使用网络策略限制流量

原因：网络策略可以控制K8s集群中Pod之间的网络通信，防止潜在的网络攻击。

操作：使用Calico、Cilium等CNI插件实施NetworkPolicy，限制Pod间的东西向流量。例如，可以实施default-deny-all策略，并仅开放必要端口。

四、启用Pod安全策略

原因：Pod安全策略可以限制容器的权限，提高容器的安全性。

操作：启用Pod安全策略准入控制器，并配置相应的策略，如防止容器以特权模式运行、避免容器与宿主机共享非必要的命名空间等。

五、使用安全上下文

原因：安全上下文可以限制Pod的权限，确保Pod运行在安全的环境中。

操作：在Pod清单中配置securityContext字段，如设置readOnlyRootFilesystem为true、runAsNonRoot为true等。

六、容器镜像安全

原因：容器镜像是构建K8s应用的基础，其安全性至关重要。

操作：

①使用私有仓库并启用漏洞扫描，阻断高风险镜像入集群。

②在CI/CD流程中集成镜像扫描工具，如Trivy，高危CVE自动终止流水线。

③使用镜像签名验证工具，如cosign，确保部署时验证签名有效性。

七、数据安全与加密

原因：保护敏感数据的安全性，防止数据泄露。

操作：

①启用etcd静态加密保护Secret数据。

②使用Vault+CSI驱动实现动态密钥注入，避免硬编码敏感信息。

八、持续监控与审计

原因：及时发现和处理安全事件，确保集群的安全运行。

操作：

①记录所有API请求，关联用户身份和操作时间。

②部署实时入侵检测工具，如Falco，监控异常容器行为。

九、基础设施加固

原因：确保K8s集群运行的基础设施的安全性。

操作：

①定期更新OS内核，使用hardened内核。

②禁用swap，配置AppArmor/SELinux等安全模块。

③使用kubeadm certs renew自动更新证书。

十、遵循最佳实践

1.网络策略覆盖所有业务Pods：确保所有业务Pods都受到网络策略的保护。

2.RBAC权限定期审计：定期检查RBAC权限设置，确保遵循最小权限原则。

3.镜像扫描集成到CI/CD门禁：将镜像扫描集成到CI/CD流程中，确保只有安全的镜像才能进入生产环境。

4.etcd启用静态加密：保护etcd中存储的敏感数据。

5.启用PSA并设置namespace安全标签：启用Pod安全标准（PSA），并为不同的namespace设置安全标签，以实施更精细的安全控制。

 结语       

离你越近的地方，路途越远

最简单的音调，需要最艰苦的练习

！！！