CentOS 上 Kubernetes 网络安全防护要点
一 主机与边界安全基线
- 加固 SSH:禁用 root 直登、禁用密码登录、改用 SSH 密钥、限制可登录用户、缩短认证超时,并配合 Fail2ban 自动封禁暴力破解来源,显著降低入侵成功率。
- 防火墙策略:遵循“默认拒绝、按需放行”,仅开放必要端口(如 SSH/80/443),对管理口与数据口分区分域管理。
- 强制访问控制:启用 SELinux 或 AppArmor,为系统与服务提供最小权限运行环境。
- 审计与完整性:启用 auditd 记录关键系统调用,使用 AIDE 做文件完整性校验,便于事后取证与异常检测。
- 补丁与内核:通过 yum/dnf 常态化更新系统与内核,及时修复高危漏洞。
- 服务最小化:关闭不必要的系统服务与端口,减少攻击面。
二 集群通信与认证授权
- 全链路 TLS:为 API Server、kubelet、kube-proxy、etcd 等组件启用双向 TLS,防止明文窃听与伪造。
- 认证方式:组合使用 客户端证书、ServiceAccount Token、OIDC、Webhook 等,避免单一凭据失效导致全面失守。
- 授权与最小权限:使用 RBAC 按“最小权限原则”授予用户与系统组件权限,定期审计 Role/ClusterRole 与 Binding。
- 准入控制:启用 准入控制插件(如 PodSecurity、ImagePolicyWebhook 等),在对象创建/更新阶段拦截不合规请求。
- 密钥与凭据:使用 Kubernetes Secrets 管理敏感信息,结合 RBAC 控制访问;为 ServiceAccount 配置最小权限的 ClusterRole。
三 网络策略与 CNI 选型
- CNI 选择:优先选择支持 NetworkPolicy 的 CNI 插件(如 Calico、Cilium);避免使用不支持策略的 Flannel,或为其叠加策略引擎。
- 默认隔离:为所有命名空间创建“默认拒绝”策略(对 Ingress/Egress 均拒绝),再按需显式放行,避免“默认全通”。
- 典型策略范式:
- 命名空间内互通:对目标 Pod 选择器的所有 Pod 放行 Ingress/Egress。
- 服务到服务:仅允许带有特定标签的客户端 Pod 访问目标 Pod 的指定端口(如仅允许 app=client → app=web:80/TCP)。
- 数据库访问:限制后端 Pod 仅能访问数据库 Pod 的 3306/TCP。
- 出站到外部:仅允许访问特定 CIDR 或外部域名/端口,缩小数据外泄面。
- 验证与排障:使用临时 BusyBox 或 curl/wget 从源 Pod 测试连通性,结合 kubectl describe networkpolicy 与 CNI 组件日志定位策略未生效原因。
四 运行时与镜像安全
- 容器运行时:以 非 root 用户运行主进程(设置 runAsNonRoot/runAsUser),按需开启 readOnlyRootFilesystem,禁用不必要的 Linux Capabilities,减少提权与逃逸风险。
- 资源与中断防护:为 Pod 设置 requests/limits,启用 liveness/readiness 探针与 PodDisruptionBudget,避免资源耗尽与滚动升级雪崩。
- 镜像治理:优先使用 私有镜像仓库,对镜像进行 漏洞扫描(如 Trivy),并定期执行 CIS/K8s 基线 检查(如 kube-bench)。
- 密钥与配置:敏感信息放入 Secrets,避免环境变量明文;区分 ConfigMap/Secret 生命周期与权限。
- 运行时防护:结合 Falco 等运行时安全工具检测异常进程、系统调用与容器逃逸行为。
五 审计监控与持续运维
- 审计与日志:启用 Kubernetes 审计日志 与节点 auditd,集中采集 API 请求、kubelet 操作、系统日志,用于合规与溯源。
- 监控与告警:使用 Prometheus + Grafana 监控 API Server、etcd、节点资源、网络策略命中率 等关键指标,配置阈值告警。
- 补丁与版本:制定 Kubernetes 与节点 OS 的滚动升级计划,优先修复 CVE 高危及已公开利用漏洞。
- 变更与演练:对 NetworkPolicy、RBAC、准入控制 等变更进行灰度与回滚演练,定期做 渗透测试/红蓝对抗 与桌面推演。
