先说一下我们的容器云安全体系的建立过程:首先,在CI/CD过程中Source-to-image过程中,要对代码进行漏洞扫描,并对生成的镜像进行居于CVE扫描,只有安全扫描通过的镜像才允许上传镜像仓库,并生成镜像签名;也需要定期对镜像仓库扫描;其次,在CD过程中,基于K8s动态准入提供镜像扫描,并指定...
显示全部先说一下我们的容器云安全体系的建立过程:
首先,在CI/CD过程中Source-to-image过程中,要对代码进行漏洞扫描,并对生成的镜像进行居于CVE扫描,只有安全扫描通过的镜像才允许上传镜像仓库,并生成镜像签名;也需要定期对镜像仓库扫描;
其次,在CD过程中,基于K8s动态准入提供镜像扫描,并指定策略,没有带有太大威胁的镜像资源才允许部署到集群;
然后,针对K8s的Service进行分组,进行网络的微隔离,确保只有指定的端口和服务可以访问;
最后,进行容器运行时安全分析,目前我们是基于Falco,对进程行为和K8s审计日志进行规则匹配,进行危险警告。
收起