Kubernetes安全求生指南 ©2019 VMware, Inc. 2  您的Kubernetes環境夠安全嗎?  Kubernetes安全最佳實務  VMware Enterprise PKS平台如何實踐K8s與容器的安全強化  最困難的部分其實是....  總結 本日議程 3 ©2019 VMware, Inc. 您的Kubernetes環境夠安全嗎? ©2019 VMware, Inc. 4 ​整個Kubernetes運作環境是相當不安全的....  原生Kubernetes在安全設計上就有許多改善空間  公版Kubernetes許多預設值是不適當的  關於網路層級的安全實際上還有許多地方並未涵蓋  設計上並不特別考慮企業多團隊/多應用的分工與隔離  有非常多層次例如: 容器/映像/作業系統/基礎架構也須涵蓋 您知道所謂 “安全”的“標準”是什麼?  這些“標準”涵蓋範圍夠嗎? 足夠讓我們安心推上生產嗎?  我們具體該怎麼做來強化安全?  我們怎麼知道我們做強化安全以後有滿足這個標準...還是這些標準?  我們該如何確保安全性在未來開發/維運一直維持達標?  我們如何用最低的負荷與最快的速度完成上述任務? 隨便Google就可找到好幾卡車的Kubernetes安全最佳實務/指南

热点领域和热点方向，试图在市场上抢得先机。 四是云计算技术不断推陈出新，助力产业高质量发展。随着上 云进程持续加深，企业需求逐步向用云转移，效率、性能、安全等 成为用户关注点，应用现代化、一云多芯、平台工程、云成本优化、 系统稳定性、云原生安全等新技术层出不穷，满足用户多样性场景 需求，助力产业数字化升级。 在此背景下，中国信息通信研究院继《云计算白皮书（2012 年）》 之后第 9 次 算行业发展， 鼓励成员国政府部门率先使用云计算，在公共服务部门推广云服务， 带动云计算产业发展。2020 年 7 月，欧盟基于“欧洲云”概念，提 出 GAIA-X 云计划，旨在通过保证透明度、安全性和隐私性来增加 云服务的可信度。2021 年 5 月，欧盟通过了《欧盟云行为准则》，为 云服务商如何遵守欧盟的隐私法规提供了详细指导。2021 年 5 月， 法国政府发布《国家云战略》，通过促进和支持对主权云服务的访问 一的云计算架构和基础设施提升数据应用价值和安全性。 日本发布多个计划，积极推动云计算在政务领域的深度应用。 日本政府于 2021 年 9 月份成立数字厅，同年 10 月开始导入政府云 服务，计划于 2025 年之前构建所有中央机关和地方自治团体能共享 行政数据的云服务，2026 年 3 月份前实现全国各市町村的基础设施 与云服务互联互通。2022 年 12 月，日本政府将云应用程序确定为经 济安全的 11 个关键领域之一，其工业部留出了

长，如用户故事编写辅助、用户研究、电梯演讲和其他基于语言的任务。同时，我们希望开发人员能够负责任 地使用所有这些工具，并且始终掌控主导权，比如 hallucinated dependencies 就是其中一个需要注意的安全 和质量风险。 衡量生产力有多有效 对于非技术人员来说，软件开发有时似乎很神奇，这导致管理者需要努力衡量开发人员在完成其神秘任务时的 生产效率。我们的首席科学家 Martin Fowler 早在 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps 19. 大语言模型驱动的自主代理 20. 平台编排 21. 自托管式大语言模型 暂缓 22. 忽略 OWASP 十大安全风险榜单 23. 用于服务端渲染（SSR）web 应用的 web 组件 采纳 24. Colima 试验 25. CloudEvents 26. DataOps.live 27. Google 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps 19. 大语言模型驱动的自主代理 20. 平台编排 21. 自托管式大语言模型 暂缓 22. 忽略 OWASP 十大安全风险榜单 23. 用于服务端渲染（SSR）web 应用的 web 组件 新的 挪进 / 挪出 没有变化 © Thoughtworks, Inc. All Rights Reserved. 12

Canonical Kubernetes 如何為貴企業選擇合適的Kubernetes發行版本 2022年7月 執行摘要 採用容器優先方法的企業，將能享有無可比擬的機會，協助提升效率及資源使用 率、加強安全性、導入自動化及加速創新；因此Gartner預測將有75%的全球組 織，在2022年之前於正式作業執行容器化應用程式，而這樣的數據並不會讓人 感到驚訝。1 Kubernetes已經成為管理容器化工作負載和服務的頂尖開放原始碼平台，不過 全升級叢集， 同時確保不會影響在叢集執行的工作負載。 2 5. 支援生命週期 有時候企業無法跟上最新的上游Kubernetes版本，未能完全保持最新狀態。為了 確保Kubernetes部署維持安全，必須瞭解廠商支援各個版本的時間長度。 OpenShift支援最新的3個次要Kubernetes版本，支援各個版本的時間總計9個月。 在前3個月期間，特定版本會獲得「完整支援」，緊急修復一旦可用就會發行提供， 年兩次)。每個次要Rancher管理伺服器版本會維護15個月，之後只會提供安全性 更新。由於Kubernetes版本支援與Rancher版本時程綁定，因此可能會限制彈性， 亦即不一定會支援最新的上游Kubernetes版本。 Canonical Kubernetes支援最新的5個Kubernetes版本。其中最新的3個版本可獲 得完整功能、產品更新及安全性修補程式，比較舊的2個版本則僅獲得安全性更新。 這種更為廣泛的支援方式，可消

Master API Server Pod Master API Server Pod Master API Server Pod Kubernetes 典型异常 网络异常 • 安全组、路由表配置错误 • 节点防火墙软件等修改 iptables、内核参数 • 网络链路长，手动排查成本高 异常影响 • 应用间无法正常通信 • 集群内 Controller 无法正常工作 调用 iptables 增加阻断规则 FORWARD_IN_ZONES_SOURCE FORWARD_OUT_ZONES 容器网络不通 异常 VS 异常检测 ？ 云原生操作系统 自检 安全模式 检测工具 … 操作系统 NPD 运行模式 • 集群节点（DaemonSet /Standalong） 问题检测 • 硬件（CPU、内存、磁盘） • 操作系统（ NTP、内核死锁、文件系统异常） Conformance-testing（K8s 兼容性检查） • 节点上自定义数据的收集(依赖于自定义插件) 问题上报 • 需要采集和分析结果文件 Kube* CIS Kubernetes Benchmark 集群安全扫描 集群综合检查 执行 bpftrace 检测工具小结 工具 适用场景 局限性 kube-bench 在集群中运行 CIS Benchmark 检测项依赖于 CIS Benchmark 内容

应用的全生命周期，支持应用查看、更新、删除、回滚、事件查看以及升级等全生命 周期管理。 ➢ 跨集群负载统一管理能力。 策略管理 支持以命名空间或集群粒度制定网络策略、配额策略、资源限制策略、灾备策 略、安全策略。 ➢ 网络策略，支持以命名空间或集群粒度制定网络策略，限定容器组与网络平上网络” 实体“通信规则。 ➢ 配额策略，支持以命名空间或集群粒度设定配额策略，限制集群内的命名空间的资源 使用。 维度进行容 灾备份，保障集群的安全性。 版权 © 2023 DaoCloud 第 10 页 ➢ 安全策略，支持以命名空间或集群粒度设定安全策略，为 Pod 定义不同的隔离级 别。 全局管理 全局管理是以用户为中心的综合性服务板块，包含用户与访问控制、企业空 间、审计日志、平台设置等基础服务模块。 ➢ 用户与访问控制：帮助用户安全管理资源的访问权限。您可以通过用户与访问控制创 业开发环 境、部门结构等设置层级结构，并控制哪些人对哪些资源具有访问权限。 ➢ 审计日志：提供资源的操作记录。通过操作记录您可以快速实现安全分析、资源变 更、问题定位等。 ➢ 平台设置：通过平台安全策略、邮件服务器、外观定制等，实现用户信息的安全性和 平台的个性化。 可观测性 可观测模块 (Insight) 是以应用为中心、开箱即用的新一代云原生可观测性平 台。 能够实时监控应

cpl.thalesgroup.com 挑戰：保護 Kubernetes 環境的應用 程式安全 容器是為服務架構套件配置和軟體相依性的必要元素。 Kubernetes 是用於部署和管理這些容器的開源軟體。 使 用 Kubernetes 可以更快地交付、部署和管理容器化應用 程式，透過可重複使用的模組化元件提高效率、優化資源利 用和降低授權費用以節省成本。 然而還是存在各種風險： • 特權用戶濫用 OpenShift等群組 管理員，能夠像一般用戶執行操作，不會獲得未經授權 的機敏資料存取。 • 實現強大的安全性 - 無論容器在資料中心、虛擬環 境、甚至是雲端，任何地方儲存或使用，CipherTrust Transparent Encryption for Kubernetes 都將實現強 大的資料安全政策。無需對應用程式、容器或基礎架構 進行任何變更的情況下，企業可以選擇部署並使用容器 以提高成本效益、控制或效能。 與我們聯繫 – 所有辦公地點和聯絡資訊，請參閱 cpl.thalesgroup.com/contact-us © Thales - October 2022 •EHV1 特色功能 • 全面的資料安全保障 - CipherTrust Transparent Encryption for Kubernetes 擴展了 CipherTrust Transparent Encryption，讓資安團隊得以在容器內建

知 建议仅在短期测试集群中使⽤，因为增加了bug带来的⻛险，⽽且缺乏⻓期⽀持 Beta级别: 版本名称包含 beta （例如 v2beta3 ） 代码经过了良好的测试。启⽤该功能被认为是安全的。 默认启⽤ 整体功能不会被删除，尽管细节可能会改变 对象的schema/语义可能会在后续的beta版/稳定版本中以不兼容的⽅式发⽣变化。发⽣这种情况时，我们将提 供迁移到下⼀个版本的说明。 我们会为apiserver配置监听启⽤了⼀种或多种形式的客户端 authentication 的安全HTTPS端⼝（443）。应启⽤⼀种或 多种 authorization 形式，特别是允许 anonymous requests 或 service account tokens 的情况下 应为Node配置集群的公共根证书，以便安全地连接到apiserver。例如，在默认的GCE部署中，提供给kubelet的客户端 希望连接到apiserver的Pod可通过服务帐户安全地进⾏，这样，Kubernetes就会在实例化时，⾃动将公共根证书和有效 的承载令牌注⼊到该Pod中。 kubernetes 服务（在所有namespace中）配置了⼀个虚拟IP地址（通过kube-proxy）重 定向到apiserver上的HTTPS端点。 Master组件通过不安全（未加密或验证）端⼝与集群apiserver通信。

Serverless Kubernetes （ASK） Pod Pod Pod ECS • 共享OS • 安全性弱 OS Pod Pod Pod Bare Metal Pod Pod Pod Pod Pod Pod Sandbox • 强隔离，安全 • 强隔离，安全 • 无节点管理 kubelet containerd OS Sandbox kubelet ECI: ECI: Elastic Container Instance • Run Containers without Managing Infrastructure • 容器成为云上的一等公民 • 安全隔离的容器运行环境 • 支持CPU 0.25c – 64c，GPU，按需创建按秒收费 • Spot Instance：极大降低计算成本 • Startup time: ~10s • 镜像缓存：无需从远端拉取镜像 更低的迁移成本：与现有容器应用生态完美集成 • 更低的使用成本：全自动化安全和运维能力 ECI关键技术选择 - 基于 Pod 的基本调度单位和标准、开放的API接口 ECI ASK ACK 云上k8s集群 线下k8s集群 Creae/Delete/Update/Describe/Logs/Exec/Metrics ECI关键技术选择 - 基于安全沙箱技术的容器运行时 ECI Elastic Container

长，难以直接回传⾄至云端且成本⾼高昂，数据在本地进⾏行行分析和过滤，节省⽹网络带宽。� ➔ 隐私安全：数据涉及到企业⽣生产和经营活动安全，在边缘处理理企业保密信息和个⼈人隐私。� ➔ 本地⾃自治：不不依赖云端的离线处理理能⼒力力和⾃自我恢复能⼒力力。� 低时延 海海量量数据 隐私安全 本地⾃自治 边缘计算应⽤用场景——智慧园区� ➔ 基于边缘计算打造智慧园区，通过视频监控+ 模型和应⽤用推送、应⽤用管理理、边缘设备托管� ⼈人流 监控 模型� 容器器� 容器器� 数据上传� 周界 检测 模型� 边缘计算应⽤用场景——智能家居� ➔ 基于边缘计算打造⾼高效、舒适、安全、便便利利、环保的智能家居环境。� ➔ 云端推送边缘应⽤用，实现应⽤用全⽣生命周期管理理和边缘设备托管。� ➔ 端侧涵盖多种智能设备，边缘侧就近处理理隐私数据，回传必要数据到云端。� 端� 容器器� 容器器� 智能电器器控制� 安防监控系统� 智能灯光控制� 设备控制� 数据接⼊入� 边缘计算⾯面临的挑战� 当前的边缘计算领域主要⾯面临以下五个挑战：� ➔ 协同：AI/安全等业务在云和边的智能协同、弹性迁移。� ➔ ⽹网络：云和边缘之间的⽹网络可靠性和带宽限制。� ➔ 管理理：边缘节点的资源管理理与边缘应⽤用⽣生命周期管理理。� ➔ 扩展：⾼高度分布和⼤大规模的可扩展性。�