对Kubernetes安全感兴趣？查看Ian Lewis的最佳实践幻灯片

Posted 2021-04-16 CNCF

Ian Lewis分享Kubernetes安全最佳实践

容器使开发人员能够将应用程序彼此隔离，但这还不够。资源隔离与安全隔离有很大不同。我们如何使容器中部署的应用程序更安全？我们如何将现有的工具如SELinux和AppArmor以及seccomp应用于我们在Kubernetes中运行的容器？我们如何将策略应用到我们的网络和服务中，以确保应用程序只能访问他们所需的内容，而不再需要其他内容？

Kubernetes提供了保护容器和安全访问API的能力。但它也具有足够灵活的体系结构，可以将网络和服务策略应用于各种Pod和服务。

在这次演讲中，我们将了解风险和攻击面以及如何使用SELinux、AppArmor和seccomp等工具来提高部署在Kubernetes中的容器的安全性。然后，我们将学习如何将网络策略应用于容器以进一步提高安全性。最后，我们将看看Istio服务网格，以及我们如何向整个服务添加身份验证，相互TLS和访问策略，从而大大减少应用程序攻击面。