CentOS上Kubernetes的安全加固措施

CentOS上Kubernetes安全加固措施

1. 系统基础加固

• 关闭不必要的服务：禁用FTP、邮件服务器等无关网络服务，使用systemctl disable <service-name>命令，减少攻击面。
• 配置防火墙：使用firewalld或iptables限制对Kubernetes关键端口（如API Server的6443端口、kubelet的10250端口）的访问，仅允许受信任IP访问。
• 调整SELinux状态：CentOS默认启用SELinux，建议将其设置为permissive模式（setenforce 0）或修改/etc/selinux/config文件永久禁用，避免与Kubernetes权限冲突（若使用Pod Security Standards替代PSP，可保留permissive）。
• 关闭Swap分区：执行swapoff -a临时关闭，修改/etc/fstab文件永久禁用，防止内存耗尽时Swap分区导致性能下降或敏感数据写入磁盘。
• 时间同步：安装chrony或ntp服务，配置所有节点与NTP服务器同步（如chronyc sources验证），确保集群时间一致，避免认证、日志等问题。

2. 认证与授权强化

• API Server TLS加密：为API Server配置双向TLS证书（客户端证书+服务器证书），禁用匿名访问（--anonymous-auth=false），确保API通信安全。
• RBAC最小权限原则：
  • 创建命名空间隔离不同环境（如kubectl create namespace production）。
  • 为用户/服务账户分配具体角色（Role/ClusterRole），例如仅允许开发人员在dev命名空间内操作Pod（kubectl create role dev-pod-reader --verb=get,list,watch --resource=pods -n dev）。
  • 通过RoleBinding/ClusterRoleBinding绑定角色与用户/服务账户（kubectl create rolebinding dev-pod-reader-binding --role=dev-pod-reader --serviceaccount=dev:default -n dev）。
• 关键操作审计：启用Kubernetes审计日志（--audit-log-path=/var/log/kube-audit.log），记录用户身份、操作时间、资源类型等信息，便于追溯安全事件。

3. 网络流量控制

• 使用Network Policy限制Pod通信：
  • 默认拒绝所有流量（podSelector: {} + policyTypes: ["Ingress", "Egress"]），再按需放行。
  • 示例：仅允许frontend命名空间的Pod访问backend命名空间的80端口（kubectl apply -f - <<EOF）：

    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
      name: frontend-to-backend
      namespace: backend
    spec:
      podSelector:
        matchLabels:
          app: backend
      policyTypes:
      - Ingress
      ingress:
      - from:
        - namespaceSelector:
            matchLabels:
              name: frontend
        ports:
        - protocol: TCP
          port: 80
    EOF
    

  • 建议使用Calico、Cilium等CNI插件支持Network Policy（CentOS默认的Flannel可能不支持）。

4. 容器镜像安全

• 使用私有镜像仓库：搭建Harbor、Nexus等私有仓库，避免直接拉取公共仓库（如Docker Hub）的镜像，降低恶意代码风险。
• 镜像漏洞扫描：
  • 使用Trivy、Clair等工具扫描镜像（trivy image centos:7），阻断包含高危CVE（如CVSS评分≥7.0）的镜像进入集群。
  • 在CI/CD流水线中集成扫描步骤，自动终止包含漏洞的构建。
• 镜像签名验证：使用cosign工具对镜像进行签名（cosign sign --key cosign.key registry.example.com/image:tag），部署时通过ImagePolicyWebhook验证签名有效性，防止篡改。

5. Pod运行时安全

• 启用Pod安全标准（PSS）：替代已废弃的Pod Security Policy（PSP），通过PodSecurity admission controller强制执行安全策略：
  • 示例：在kube-apiserver启动参数中添加--enable-admission-plugins=PodSecurity，并创建PodSecurity配置（restricted策略禁止特权容器、限制挂载卷类型等）。
• 安全上下文配置：
  • 在Pod/Container级别设置securityContext，禁止特权容器（privileged: false）、设置容器为非root用户（runAsNonRoot: true）、只读根文件系统（readOnlyRootFilesystem: true）。
  • 示例：

    apiVersion: v1
    kind: Pod
    metadata:
      name: secure-pod
    spec:
      securityContext:
        runAsNonRoot: true
        runAsUser: 1000
        fsGroup: 2000
      containers:
      - name: nginx
        image: nginx
        securityContext:
          allowPrivilegeEscalation: false
    

• 资源限制：为Container设置CPU/内存限制（resources.requests/resources.limits），防止资源耗尽攻击（如kubectl explain pod.spec.containers.resources）。

6. 数据安全保护

• etcd加密：启用etcd静态加密（--encryption-provider-config=/etc/kubernetes/encryption-config.yaml），保护Secret数据（如数据库密码、API密钥）在存储时的安全。
• Secret管理：
  • 避免将Secret硬编码在YAML文件中，使用kubectl create secret命令创建Secret（kubectl create secret generic db-password --from-literal=password=123456）。
  • 使用Vault、CSI驱动实现动态密钥注入（如Vault的KV存储与Kubernetes CSI集成），避免Secret明文存储在etcd中。

7. 监控与审计

• 日志收集与分析：使用Prometheus+Granafa监控集群状态（如CPU、内存、Pod数量），通过Loki、Elasticsearch收集容器日志，设置告警规则（如Pod频繁重启、异常资源消耗）。
• 实时入侵检测：部署Falco监控容器异常行为（如宿主机文件访问、特权容器启动），触发告警或自动响应（如终止异常Pod）。
• 审计日志保留：配置Kubernetes审计日志的保留策略（如保存30天），定期审查日志（如grep "create pod" /var/log/kube-audit.log），发现潜在安全威胁。

8. 持续更新与补丁管理

• 升级Kubernetes组件：定期将Kubernetes集群升级到最新稳定版本（如kubeadm upgrade plan检查可升级版本，kubeadm upgrade apply执行升级），修复已知安全漏洞。
• 更新系统与依赖：保持CentOS系统（yum update -y）及Kubernetes依赖组件（如Docker、containerd）为最新版本，减少系统漏洞风险。
• 证书自动更新：使用kubeadm certs renew命令自动更新集群证书（如API Server证书），避免证书过期导致服务中断。

9. 其他安全措施

• 最小化暴露服务：仅对外暴露必要的服务（如Ingress Controller的80/443端口），使用NodePort或LoadBalancer类型Service时，通过防火墙限制访问IP。
• 使用Ingress Controller：通过Nginx、Traefik等Ingress Controller管理外部访问，实现HTTPS加密（--enable-ssl-passthrough）、路径路由（/api指向后端Pod）等功能。
• 备份与灾难恢复：定期备份etcd数据（etcdctl snapshot save /backup/etcd-snapshot.db），测试恢复流程（etcdctl snapshot restore），确保集群故障时可快速恢复。