Docker和K8s会不可避免地存在漏洞,每次漏洞修复都要大规模升级集群,每次升级有可能对上面运行的容器造成影响,对K8s的运维是非常大的压力。如何保证容器平台安全是困扰我们的一个方面
收起从几个层面回答这个问题:
容器及K8s层面
通常需要保证镜像安全、容器运行时安全、容器网络安全、权限安全等问题。另外,可以进一步关注K8s的Pod安全策略PSP。
平台层面
集群隔离、租户安全、用户隔离、网络ACL、审计、DevSecOps、NetworkPolicy、平台高可用、HTTPS接入安全等都是平台从平台层面提供的安全能力。
平台自身的漏洞扫描、组件漏洞等问题需要厂商发版前做严格的漏扫,做到有效的处理。在我接触的大量的客户采购过程中,会要求厂商提供未来每个版本的安全检测报告。
应用层面
通过DevSecOps在开发过程中为应用提供安全保障。
另外,平台会提供应用高可用保障、应用安全接入、跨域策略、数据高可用等能力,为应用进一步提供安全保障。
通常,我们建议针对面向的互联网应用,可以叠加上前端安全设备的WAF、DDos、防Sql注入等能力将进一步提升应用的安全性。
运维安全
在业务高峰期的重保服务是保障平台正常运 行的另一个策略。