k8s安全策略在centos上如何实施

Kubernetes安全策略在CentOS上的实施指南

一、系统基础安全加固

1. 节点系统配置

   • 关闭不必要的服务（如FTP、邮件服务器），使用systemctl disable <service-name>禁用；配置firewalld或iptables限制仅开放Kubernetes必要端口（如API Server的6443、kubelet的10250/10255）。
   • 禁用SELinux（临时命令：setenforce 0；永久生效：修改/etc/selinux/config中SELINUX=disabled）；关闭Swap分区（swapoff -a并注释/etc/fstab中的Swap条目）。
   • 同步系统时间：安装chrony并配置NTP服务器（如server ntp.aliyun.com iburst），运行chronyc sources验证同步状态。

2. 用户与权限管理

   • 强制使用强密码：修改/etc/login.defs设置密码复杂度（如PASS_MIN_LEN 12、PASS_REQUIRE_MIXED_CASE yes）；锁定默认多余账户（如usermod -L adm、usermod -L lp）。
   • 限制su命令：编辑/etc/pam.d/su，添加auth required pam_wheel.so use_uid，仅允许wheel组用户切换root。

二、Kubernetes集群安全配置

1. 认证与授权

• API Server安全
  启用TLS双向认证：生成CA证书、Server证书和Client证书（使用openssl），将证书放入/etc/kubernetes/pki，修改/etc/kubernetes/manifests/kube-apiserver.yaml添加参数：

  spec:
    containers:
    - command:
      - kube-apiserver
      - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
      - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
      - --client-ca-file=/etc/kubernetes/pki/ca.crt
  

  重启kubelet使配置生效。

• RBAC权限控制
  遵循最小权限原则，创建命名空间、服务账户、角色及绑定：

  # 创建命名空间
  kubectl create namespace dev-ns
  
  # 创建服务账户
  kubectl create serviceaccount dev-sa -n dev-ns
  
  # 创建角色（限制仅能读取Pod）
  kubectl create role pod-reader --verb=get,list,watch --resource=pods -n dev-ns
  
  # 绑定角色到服务账户
  kubectl create rolebinding dev-rb --role=pod-reader --serviceaccount=dev-ns:dev-sa -n dev-ns
  

  避免使用cluster-admin角色给开发人员。

2. 网络隔离

• NetworkPolicy配置
  使用Calico、Cilium等支持NetworkPolicy的网络插件，限制Pod间通信：

  apiVersion: networking.k8s.io/v1
  kind: NetworkPolicy
  metadata:
    name: frontend-database-policy
    namespace: dev-ns
  spec:
    podSelector:
      matchLabels:
        app: database
    policyTypes:
    - Ingress
    ingress:
    - from:
      - podSelector:
          matchLabels:
            app: frontend
      ports:
      - protocol: TCP
        port: 3306
  

  该策略仅允许带有app=frontend标签的Pod访问app=database的Pod的3306端口。

3. 容器运行时安全

• 安全上下文（Security Context）
  在Pod或Container级别配置，限制容器权限：

  apiVersion: v1
  kind: Pod
  metadata:
    name: secure-pod
    namespace: dev-ns
  spec:
    containers:
    - name: nginx
      image: nginx:1.25
      securityContext:
        runAsNonRoot: true  # 禁止以root用户运行
        runAsUser: 1000     # 指定用户ID
        readOnlyRootFilesystem: true  # 只读根文件系统
        allowPrivilegeEscalation: false  # 禁止提权
  

  避免容器以root权限运行。

• Pod安全标准（PSS）
  替代已废弃的Pod Security Policy（PSP），启用内置的Baseline或Restricted策略（需集群支持）：

  # 启用Restricted策略（需安装Kyverno或OPA/Gatekeeper）
  kubectl apply -f https://raw.githubusercontent.com/kyverno/kyverno/main/config/release/install.yaml
  kubectl create -f - <<EOF
  apiVersion: kyverno.io/v1
  kind: ClusterPolicy
  metadata:
    name: enforce-restricted-psp
  spec:
    validationFailureAction: enforce
    background: true
    rules:
    - name: check-run-as-non-root
      match:
        resources:
          kinds:
          - Pod
      validate:
        message: "Containers must not run as root"
        pattern:
          spec:
            containers:
            - securityContext:
                runAsNonRoot: true
  EOF
  

  该策略强制所有Pod以非root用户运行。

4. 镜像安全

• 镜像来源与扫描
  使用私有镜像仓库（如Harbor），配置CI/CD流水线集成Trivy或Clair扫描镜像漏洞：

  # 使用Trivy扫描镜像
  trivy image --exit-code 1 --severity CRITICAL nginx:1.25
  

  若扫描到高危漏洞（如CVE-2023-1234），自动终止流水线并通知开发人员修复。

• 镜像签名与验证
  使用Cosign对镜像签名，部署时验证签名有效性：

  # 签名镜像
  cosign sign --key cosign.key nginx:1.25
  
  # 验证签名
  cosign verify --key cosign.pub nginx:1.25
  

  在Kubernetes中配置imagePullSecrets和PodSecurityPolicy（或PSS）强制验证签名。

5. 数据安全

• etcd加密
  启用etcd静态加密保护Secret数据，修改/etc/kubernetes/manifests/etcd.yaml添加加密配置：

  spec:
    containers:
    - command:
      - etcd
      - --encryption-provider-config=/etc/kubernetes/pki/encryption-config.yaml
  

  创建encryption-config.yaml文件，指定加密算法（如AES-256-GCM）和密钥。

• Secret管理
  避免硬编码Secret，使用Vault或CSI驱动动态注入：

  # 安装HashiCorp Vault并配置Kubernetes auth
  vault auth enable kubernetes
  vault write auth/kubernetes/role/dev-role \
    bound_service_account_names=dev-sa \
    bound_service_account_namespaces=dev-ns \
    policies=dev-secret-policy \
    ttl=1h
  
  # 使用Vault CSI驱动挂载Secret到Pod
  kubectl apply -f https://raw.githubusercontent.com/hashicorp/vault-helm/main/charts/vault/templates/csi-driver.yaml
  

  在Pod中声明Volume挂载Secret。

三、持续监控与审计

1. 日志收集与分析
   部署EFK（Elasticsearch+Fluentd+Kibana）或Loki+Promtail+Grafana堆栈，收集节点、kubelet、API Server日志，设置告警规则（如频繁的登录失败）。

2. 审计日志
   启用Kubernetes Audit Logging，记录所有API请求（如创建Pod、修改Deployment），修改/etc/kubernetes/audit-policy.yaml：

apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata
  resources:
  - group: ""
    resources: ["pods", "services", "deployments"]

将审计日志保存到/var/log/kubernetes/audit.log，定期分析异常行为。

3. 实时入侵检测
   部署Falco监控容器和节点行为，检测异常操作（如容器逃逸、宿主机文件访问）：

# 安装Falco
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm install falco falcosecurity/falco --namespace falco --create-namespace

# 查看Falco告警
kubectl logs -f -n falco deploy/falco

Falco规则示例（检测容器内访问/etc/shadow）：

- rule: Read sensitive file inside container
  desc: Detect container accessing sensitive files like /etc/shadow
  condition: >
    container and evt.type in (open, openat) and
    evt.dir=< and
    fd.name in ("/etc/shadow", "/etc/passwd")
  output: "Sensitive file accessed by container (user=%user.name command=%proc.cmdline file=%fd.name)"
  priority: WARNING

。

四、持续维护与更新

1. 组件版本管理
   定期升级Kubernetes集群至最新稳定版本（使用kubeadm upgrade），升级前备份etcd数据（etcdctl snapshot save /tmp/etcd-snapshot.db）。

2. 补丁管理
   使用yum update定期更新CentOS系统包（如kernel、openssl），使用kubeadm upgrade node更新Kubernetes组件（如kubelet、kube-proxy）。

3. 漏洞扫描
   使用kube-bench检查集群配置是否符合CIS Kubernetes Benchmark标准：

# 安装kube-bench
curl -L https://github.com/aquasecurity/kube-bench/releases/download/v0.6.13/kube-bench_0.6.13_linux_amd64.deb -o kube-bench.deb
sudo dpkg -i kube-bench.deb

# 运行扫描（针对master节点）
kube-bench --benchmark cis-1.25

根据扫描结果修复不安全配置（如未启用TLS、RBAC未配置）。