容器安全实践与授权管理的最佳实践|学习笔记

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 快速学习容器安全实践与授权管理的最佳实践

开发者学堂课程【云原生实践公开课容器安全实践与授权管理的最佳实践】学习笔记,与课程紧密联系,让用户快速学习知识

课程地址:https://developer.aliyun.com/learning/course/698/detail/12277


容器安全实践与授权管理的最佳实践


内容介绍:

一、 安全挑战

二、 应用安全

三、 主机安全

四、 供应链安全

五、 总结


一. 安全挑战

1. 云原生下的安全挑战

  • 新的攻击面
  • 新的攻击手段
  • 分钟级的生命周期
  • 更高的部署密度
  • 镜像中存在大量漏洞
  • CVE频出

image.png

应用架构演进带来了安全防护和合规审计的挑战升级

2. 云原生安全原则

  • 零信任安全模型下没有绝对的安全域
  • 在暴露的服务前设置尽可能多的防护层,实现纵深防御
  • 权限配置和凭证下发遵循权限
  • 最小化原则最小化攻击面

image.png


二、应用安全

1. 应用安全攻击路径

  • 攻击者恶意窃取kubeconfig或应用对应的serviceaccount,造成集群访问凭证

泄露

  • 攻击者利用窃取的集群访问凭证对集群发起攻击
  • 攻击者可能通过访问集群apiserver 获取secret 等敏感信息进一步越权攻击

image.png

2. 细粒度访问控制策略

  • 在云资源控制平面,遵循权限最小化原则合理分配云账号的资源访问权限
  • K8s集群数据平面,根据业务场景,通过Namespace 实现人员/应用/部门之

间的逻辑隔离

  • 使用RBAC进行资源模型维度的细粒度访问控制
  • 及时吊销或轮转可能泄露的访问凭证

image.png

3. 应用网络安全

  • 控制容器入网流量:
  • 限定容器允许监听的指定协议,端口和服务标签等
  • 限定除LB和Ingress关联的服务外不允许外网IP访问
  • 限定容器只允许其服务消费者访问
  • 控制容器出网流量:
  • 禁止不需要访问公网的Pods出网流量

image.png

代码示例:

kind: NetworkPolicy

apiversion : networking.k8s.io/v1

metadata :

namespace : my-app

name : deny-from-other-namespaces

spec:

podselector :

matchLabels:

ingress:

- from:

- podselector : { }

4. ServiceMesh

l 通过sidecar 代理服务之间的请求

l 服务之间保证mTLS传输加密

l 应用证书托管下发和自动更新

l 基于安全策略的服务间东西向网络访问控制

相关文章
|
算法 调度
深入理解操作系统之进程调度算法的设计与实现
【5月更文挑战第27天】 在多任务处理的现代操作系统中,进程调度算法是核心组件之一,负责决定哪个进程将获得CPU资源。本文不仅探讨了几种经典的进程调度算法,包括先来先服务(FCFS)、短作业优先(SJF)和轮转调度(RR),还分析了各自的优势、劣势及适用场景。此外,文章将深入讨论如何根据系统需求设计自定义调度算法,并提供了基于伪代码的实现示例。最后,通过模拟实验比较了这些算法的性能,以指导读者在实际操作系统设计时的选择与优化。
|
12月前
|
机器学习/深度学习 人工智能 自然语言处理
【大语言模型-论文精读】谷歌-BERT:用于语言理解的预训练深度双向Transformers
【大语言模型-论文精读】谷歌-BERT:用于语言理解的预训练深度双向Transformers
939 1
|
数据采集 监控 数据挖掘
ERP系统中的数据分析与报表生成
【7月更文挑战第25天】 ERP系统中的数据分析与报表生成
916 2
|
缓存 算法 Java
提升编程效率的利器: 解析Google Guava库之常用工具类-40个示例(七)
提升编程效率的利器: 解析Google Guava库之常用工具类-40个示例(七)
|
消息中间件 缓存 监控
Kafka性能优化策略综述:提升吞吐量与可靠性
Kafka性能优化策略综述:提升吞吐量与可靠性
1726 0
|
Oracle 安全 Java
JAVA用Mail发送API的方法步骤教程
使用Java和Mail发送API实现自动化邮件发送,提高效率。步骤包括:1. 安装JDK并配置JAVA_HOME,2. 添加JavaMail库(可通过Maven或官网下载)。配置邮件发送涉及邮件服务器地址、端口和认证信息。创建邮件会话、邮件消息对象,然后使用Transport发送。示例代码展示完整流程。注意处理认证失败、连接问题和邮件发送失败等常见问题。
|
消息中间件 存储 监控
深度解析Broker的角色与魔法
深度解析Broker的角色与魔法
952 0
|
存储 Linux 调度
2023Linux C/C++全栈开发知识技术合集(基础入门到高级进阶)(上)
2023Linux C/C++全栈开发知识技术合集(基础入门到高级进阶)
|
Oracle 关系型数据库 Java
ORA-12505, TNS:listener does not currently know of SID given in connect descriptor
ORA-12505, TNS:listener does not currently know of SID given in connect descriptor
5026 0
解决出现Caused by: org.xml.sax.SAXParseException; lineNumber: 2; columnNumber: 6; 不允许有匹配 “[xX][mM][lL]“
解决出现Caused by: org.xml.sax.SAXParseException; lineNumber: 2; columnNumber: 6; 不允许有匹配 “[xX][mM][lL]“
1245 0