4同行回答
很大的问题。k8s官方有个汇总见https://kubernetes.io/docs/concepts/security/overview/
从宏观角度,容器各层次具有不同best practices。比如网络networkpolicy,默认最好跨ns访问全堵塞,按需开放。比如容器避免root运行。比如rbac合理控制serviceaccount权限等等。
从具体方案上,据我所知很多商业方案都通过实现k8s CXI的接口,将自身的探针注入到容器网络、存储等过程中,以便全方面嗅探和监控异常行为。