1. 镜像安全
– 基础镜像漏洞
– 应用依赖漏洞
– 恶意代码注入
– 镜像篡改

2. 运行时安全
– 容器逃逸
– 权限提升
– 资源滥用
– 敏感信息泄露

3. 网络安全
– 容器间通信
– 网络隔离
– 流量监控
– 网络攻击

4. 编排安全
– 集群配置
– 访问控制
– Secrets管理
– 集群间通信

5. 供应链安全
– 第三方依赖
– 构建环境
– 部署流程
– 版本管理

# 容器安全架构
架构层次 安全措施 工具/方法
——– ——– ——–
镜像层 镜像扫描、签名、漏洞管理 Trivy、Clair、Notary
运行时层 运行时监控、权限控制、资源限制 AppArmor、SELinux、runc
网络层 网络隔离、流量监控、访问控制 Calico、Cilium、NetworkPolicy
编排层 集群安全、RBAC、Secrets管理 Kubernetes RBAC、Secrets、Admission Controllers
主机层 主机加固、容器运行时安全 Docker安全配置、Kubernetes节点安全

# 容器安全标准
1. NIST SP 800-190：容器安全指南
2. CIS Docker Benchmark：Docker安全基准
3. CIS Kubernetes Benchmark：Kubernetes安全基准
4. OWASP Container Security：容器安全指南
5. CNCF Security Whitepaper：云原生安全白皮书

# 容器安全工具
1. 镜像扫描工具
– Trivy：开源漏洞扫描
– Clair：容器镜像漏洞扫描
– Aqua Security：容器安全平台
– Sysdig Secure：容器安全管理

2. 运行时安全工具
– Falco：容器运行时安全监控
– Aqua Security Runtime Protection：运行时保护
– Sysdig Secure：运行时监控

3. 网络安全工具
– Calico：网络策略和安全
– Cilium：网络和安全
– Weave Net：网络和安全

4. 编排安全工具
– Kubernetes RBAC：访问控制
– Secrets Management：密钥管理
– Admission Controllers：准入控制

5. 合规工具
– CIS Benchmark：安全基准检查
– OpenSCAP：安全合规检查
– Docker Bench for Security：Docker安全检查

# 容器安全风险评估
1. 风险识别
– 镜像漏洞
– 配置错误
– 权限过度
– 网络暴露

2. 风险评估
– 漏洞严重性
– 攻击面分析
– 影响范围
– 修复难度

3. 风险缓解
– 漏洞修复
– 配置优化
– 权限限制
– 网络隔离

4. 风险监控
– 实时监控
– 告警机制
– 安全审计
– 事件响应

# 容器安全最佳实践
1. 镜像安全
– 使用官方基础镜像
– 定期更新镜像
– 扫描镜像漏洞
– 签名验证镜像

2. 运行时安全
– 限制容器权限
– 资源限制
– 只读文件系统
– 网络隔离

3. 编排安全
– 最小权限原则
– 安全上下文
– Secrets管理
– 网络策略

4. 监控与审计
– 实时监控
– 安全审计
– 日志管理
– 合规检查

5. 持续集成/持续部署
– 安全扫描集成
– 自动化安全测试
– 部署前检查
– 回滚机制

# 1. 镜像来源管理
1. 使用官方镜像
– 从Docker Hub官方仓库拉取
– 验证镜像签名
– 定期更新基础镜像

2. 私有镜像仓库
– 搭建私有Docker Registry
– 配置访问控制
– 镜像版本管理
– 镜像扫描集成

3. 镜像标签管理
– 避免使用latest标签
– 使用固定版本标签
– 标签命名规范
– 定期清理过期镜像

# 2. 镜像扫描
1. 扫描工具
– Trivy：开源漏洞扫描
– Clair：容器镜像漏洞扫描
– Aqua Security：商业扫描工具
– Sysdig Secure：商业扫描工具

2. 扫描流程
– 构建时扫描
– 推送前扫描
– 部署前扫描
– 定期扫描

3. 扫描结果处理
– 漏洞分级
– 修复建议
– 漏洞追踪
– 合规报告

4. 扫描示例
– 使用Trivy扫描镜像：
$ trivy image nginx:latest

– 扫描结果：
2026-04-03T10:00:00+08:00 INFO Detected OS: debian
2026-04-03T10:00:00+08:00 INFO Detecting Debian vulnerabilities…
2026-04-03T10:00:00+08:00 INFO Number of language-specific files: 0

nginx:latest (debian 11.3)
===========================
Total: 10 (UNKNOWN: 0, LOW: 5, MEDIUM: 3, HIGH: 2, CRITICAL: 0)

┌───────────┬───────────────┬──────────┬───────────────────┬───────────────┬─────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├───────────┼───────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────┤
│ openssl │ CVE-2022-0778 │ HIGH │ 1.1.1k-1+deb11u1 │ 1.1.1k-1+deb11u2 │ openssl: Infinite loop in BN_mod_sqrt() │
│ libssl1.1 │ CVE-2022-0778 │ HIGH │ 1.1.1k-1+deb11u1 │ 1.1.1k-1+deb11u2 │ openssl: Infinite loop in BN_mod_sqrt() │
│ libc6 │ CVE-2022-23218 │ MEDIUM │ 2.31-13+deb11u2 │ 2.31-13+deb11u3 │ glibc: stack-based buffer overflow in getcwd │
│ libc6 │ CVE-2022-23219 │ MEDIUM │ 2.31-13+deb11u2 │ 2.31-13+deb11u3 │ glibc: stack-based buffer overflow in glob() │
│ libc6 │ CVE-2022-23220 │ MEDIUM │ 2.31-13+deb11u2 │ 2.31-13+deb11u3 │ glibc: buffer overflow in wordexp() │
└───────────┴───────────────┴──────────┴───────────────────┴───────────────┴─────────────────────────────────────────────┘

# 3. 镜像构建安全
1. Dockerfile最佳实践
– 使用最小基础镜像
– 减少镜像层数
– 清除构建缓存
– 避免使用root用户

2. Dockerfile示例
# 使用最小基础镜像
FROM alpine:3.14

# 设置非root用户
RUN addgroup -g 1000 app && adduser -u 1000 -G app -s /bin/sh -D app
USER app

# 安装应用
RUN apk add –no-cache nginx

# 复制配置文件
COPY nginx.conf /etc/nginx/nginx.conf

# 暴露端口
EXPOSE 80

# 启动应用
CMD [“nginx”, “-g”, “daemon off;”]

3. 多阶段构建
# 第一阶段：构建
FROM node:14-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
RUN npm run build

# 第二阶段：运行
FROM nginx:alpine
COPY –from=builder /app/build /usr/share/nginx/html
EXPOSE 80
CMD [“nginx”, “-g”, “daemon off;”]

4. 构建环境安全
– 隔离构建环境
– 构建缓存清理
– 敏感信息保护
– 构建过程审计

# 4. 镜像签名与验证
1. Docker Content Trust
– 启用DCT：
$ export DOCKER_CONTENT_TRUST=1

– 签名镜像：
$ docker push fgedu/nginx:latest

– 验证镜像：
$ docker pull fgedu/nginx:latest

2. Notary
– 安装Notary：
$ brew install notary

– 配置Notary：
$ export NOTARY_SERVER=https://notary.docker.io

– 签名镜像：
$ notary sign fgedu/nginx:latest

– 验证镜像：
$ notary verify fgedu/nginx:latest

3. Cosign
– 安装Cosign：
$ brew install cosign

– 生成密钥：
$ cosign generate-key-pair

– 签名镜像：
$ cosign sign –key cosign.key fgedu/nginx:latest

– 验证镜像：
$ cosign verify –key cosign.pub fgedu/nginx:latest

# 5. 镜像漏洞管理
1. 漏洞分级
– CRITICAL：严重漏洞，需要立即修复
– HIGH：高危漏洞，需要尽快修复
– MEDIUM：中危漏洞，需要在合理时间内修复
– LOW：低危漏洞，可在下次更新时修复

2. 漏洞修复策略
– 基础镜像更新：更新到最新版本
– 应用依赖更新：更新到安全版本
– 配置优化：修复配置漏洞
– 安全补丁：应用安全补丁

3. 漏洞追踪
– 漏洞数据库：CVE、NVD
– 漏洞扫描报告：定期生成
– 漏洞修复跟踪：跟踪修复进度
– 安全公告：关注安全公告

4. 合规检查
– CIS Docker Benchmark：Docker安全检查
– NIST SP 800-190：容器安全指南
– 行业合规：PCI DSS、HIPAA等

# 6. 镜像安全最佳实践
1. 使用官方基础镜像
2. 定期更新基础镜像
3. 最小化镜像大小
4. 扫描镜像漏洞
5. 签名验证镜像
6. 避免使用root用户
7. 清除敏感信息
8. 管理镜像标签
9. 搭建私有镜像仓库
10. 建立镜像安全流程

# 1. 容器运行时
1. Docker
– 安全特性：AppArmor、SELinux、seccomp
– 配置文件：/etc/docker/daemon.json
– 安全选项：–security-opt

2. containerd
– 安全特性：runc、gVisor
– 配置文件：/etc/containerd/config.toml
– 安全选项：runtime options

3. CRI-O
– 安全特性：runc、SELinux
– 配置文件：/etc/crio/crio.conf
– 安全选项：runtime options

# 2. 运行时安全配置
1. Docker安全配置
# /etc/docker/daemon.json
{
“icc”: false,
“iptables”: true,
“live-restore”: true,
“no-new-privileges”: true,
“default-ulimits”: {
“nofile”: {
“Name”: “nofile”,
“Hard”: 65536,
“Soft”: 65536
}
},
“seccomp-profile”: “/etc/docker/seccomp.json”,
“storage-driver”: “overlay2”,
“log-driver”: “json-file”,
“log-opts”: {
“max-size”: “10m”,
“max-file”: “3”
}
}

2. 容器安全选项
# 限制权限
$ docker run –security-opt=no-new-privileges=true nginx

# 只读文件系统
$ docker run –read-only nginx

# 限制 capabilities
$ docker run –cap-drop=ALL –cap-add=NET_BIND_SERVICE nginx

# 网络隔离
$ docker run –network=none nginx

# 资源限制
$ docker run –memory=512m –cpus=1 nginx

3. 安全上下文
# Kubernetes Pod安全上下文
apiVersion: v1
kind: Pod
metadata:
name: secure-pod
spec:
containers:
– name: nginx
image: nginx
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
readOnlyRootFilesystem: true
allowPrivilegeEscalation: false
capabilities:
drop: [“ALL”]
add: [“NET_BIND_SERVICE”]
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000

# 3. 运行时监控
1. Falco
– 安装Falco：
$ helm repo add falcosecurity https://falcosecurity.github.io/charts
$ helm install falco falcosecurity/falco

– 配置规则：
# /etc/falco/falco_rules.yaml
– rule: Container Privilege Escalation Attempt
desc: Detect any attempt to gain privileges in a container
condition: container and evt.type=setuid and evt.arg.uid=0
output: “Privilege escalation attempt in container (user=%user.name container_id=%container.id container_name=%container.name)”
priority: CRITICAL

– 查看告警：
$ kubectl logs -f deployment/falco

2. Sysdig Secure
– 安装Sysdig：
$ helm repo add sysdig https://charts.sysdig.com
$ helm install sysdig sysdig/sysdig-deploy

– 配置策略：
# 运行时策略
– name: Privilege Escalation
description: Detect privilege escalation attempts
rules:
– container.id != “” and evt.type = setuid and evt.arg.uid = 0

– 查看告警：
$ kubectl logs -f deployment/sysdig-agent

3. 运行时行为监控
– 系统调用监控
– 文件系统监控
– 网络活动监控
– 进程活动监控

# 4. 容器逃逸防护
1. 容器逃逸风险
– 特权容器
– 挂载主机目录
– 共享命名空间
– 内核漏洞

2. 防护措施
– 避免使用特权容器：
$ docker run –privileged=false nginx

– 限制挂载：
$ docker run –mount type=bind,source=/host/path,target=/container/path,readonly nginx

– 隔离命名空间：
$ docker run –network=bridge –ipc=private –pid=private nginx

– 内核安全补丁：
$ apt update && apt install -y linux-image-$(uname -r)

3. 检测容器逃逸
– Falco规则：
– rule: Container Escape Attempt
desc: Detect attempts to escape from a container
condition: container and (evt.type=open and evt.arg.path=/host/* or evt.type=mount and evt.arg.target=/host)
output: “Container escape attempt (user=%user.name container_id=%container.id container_name=%container.name)”
priority: CRITICAL

– 监控异常行为：
– 访问主机文件系统
– 挂载主机设备
– 执行特权命令

# 5. 资源限制
1. 内存限制
– Docker：
$ docker run –memory=512m –memory-swap=1g nginx

– Kubernetes：
apiVersion: v1
kind: Pod
metadata:
name: memory-limited
spec:
containers:
– name: nginx
image: nginx
resources:
requests:
memory: “256Mi”
limits:
memory: “512Mi”

2. CPU限制
– Docker：
$ docker run –cpus=1 –cpu-shares=1024 nginx

– Kubernetes：
apiVersion: v1
kind: Pod
metadata:
name: cpu-limited
spec:
containers:
– name: nginx
image: nginx
resources:
requests:
cpu: “500m”
limits:
cpu: “1”

3. 磁盘限制
– Docker：
$ docker run –storage-opt size=10g nginx

– Kubernetes：
apiVersion: v1
kind: Pod
metadata:
name: disk-limited
spec:
containers:
– name: nginx
image: nginx
volumeMounts:
– name: data
mountPath: /data
volumes:
– name: data
emptyDir:
sizeLimit: 10Gi

4. 文件描述符限制
– Docker：
$ docker run –ulimit nofile=65536:65536 nginx

– Kubernetes：
apiVersion: v1
kind: Pod
metadata:
name: fd-limited
spec:
containers:
– name: nginx
image: nginx
securityContext:
ulimits:
nofile:
soft: 65536
hard: 65536

# 6. 敏感信息保护
1. 环境变量安全
– 避免在环境变量中存储敏感信息：
# 不好的写法
$ docker run -e PASSWORD=secret nginx

# 好的写法
$ docker run –secret source=mysecret,target=password nginx

– Kubernetes Secrets：
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
password: c2VjcmV0

apiVersion: v1
kind: Pod
metadata:
name: secret-pod
spec:
containers:
– name: nginx
image: nginx
env:
– name: PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password

2. 挂载卷安全
– 避免挂载敏感主机目录：
# 不好的写法
$ docker run -v /etc:/host/etc nginx

# 好的写法
$ docker run -v /data:/container/data nginx

– 只读挂载：
$ docker run -v /data:/container/data:ro nginx

3. 日志安全
– 避免在日志中记录敏感信息：
# 配置日志级别
$ docker run –log-opt max-size=10m –log-opt max-file=3 nginx

– 日志加密：
# 配置日志驱动
$ docker run –log-driver=fluentd –log-opt fluentd-address=fgedudb:24224 nginx

# 7. 运行时安全最佳实践
1. 最小权限原则
– 非root用户运行容器
– 限制容器 capabilities
– 只读文件系统
– 网络隔离

2. 资源限制
– 内存限制
– CPU限制
– 磁盘限制
– 文件描述符限制

3. 运行时监控
– 实时监控容器行为
– 检测异常活动
– 告警机制
– 安全审计

4. 容器逃逸防护
– 避免使用特权容器
– 限制挂载
– 隔离命名空间
– 内核安全补丁

5. 敏感信息保护
– 使用 Secrets 管理敏感信息
– 避免环境变量存储敏感信息
– 日志安全
– 网络传输加密

# 1. 容器网络模式
1. Docker网络模式
– bridge：默认网络模式，隔离网络
– host：共享主机网络
– none：无网络
– container：共享其他容器网络
– overlay：跨主机网络

2. Kubernetes网络
– ClusterIP：集群内部访问
– NodePort：节点端口访问
– LoadBalancer：负载均衡访问
– ExternalName：外部服务访问

# 2. 网络隔离
1. Docker网络隔离
– 创建隔离网络：
$ docker network create –driver bridge isolated-network

– 运行容器在隔离网络：
$ docker run –network=isolated-network nginx

– 网络访问控制：
$ docker network inspect isolated-network

2. Kubernetes网络策略
– 网络策略定义：
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny
spec:
podSelector: {}
policyTypes:
– Ingress
– Egress

– 允许特定流量：
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-nginx
spec:
podSelector:
matchLabels:
app: nginx
ingress:
– from:
– podSelector:
matchLabels:
app: frontend
ports:
– protocol: TCP
port: 80

3. 网络插件
– Calico：基于BGP的网络策略
– Cilium：基于eBPF的网络和安全
– Weave Net：简单的网络解决方案
– Flannel：简单的 overlay 网络

# 3. 网络流量监控
1. 网络流量分析
– 工具：
– tcpdump：网络抓包
– Wireshark：网络分析
– Netflow：流量分析
– Prometheus + Grafana：网络监控

– 示例：
# 容器网络抓包
$ docker exec -it nginx-container tcpdump -i eth0

# Kubernetes网络抓包
$ kubectl exec -it nginx-pod — tcpdump -i eth0

2. 网络性能监控
– 指标：
– 带宽使用率
– 延迟
– 丢包率
– 连接数

– 监控工具：
– Prometheus + Grafana
– Datadog
– New Relic

3. 异常流量检测
– 工具：
– Falco：容器运行时安全监控
– Suricata：网络入侵检测
– Zeek：网络安全监控

– 规则：
# Falco规则
– rule: Abnormal Network Activity
desc: Detect abnormal network activity from containers
condition: container and evt.type=connect and not evt.arg.dport in (80, 443, 53)
output: “Abnormal network activity (user=%user.name container_id=%container.id container_name=%container.name dest_ip=%evt.arg.daddr dest_port=%evt.arg.dport)”
priority: WARNING

# 4. 网络攻击防护
1. 常见网络攻击
– DDoS攻击
– 端口扫描
– 中间人攻击
– ARP欺骗

2. 防护措施
– 网络策略：限制网络访问
– 防火墙：配置防火墙规则
– 入侵检测：部署IDS/IPS
– 流量过滤：过滤恶意流量

3. 网络加密
– TLS加密：
# Kubernetes Ingress TLS
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: nginx-ingress
spec:
tls:
– hosts:
– nginx.fgedu.net.cn
secretName: nginx-tls
rules:
– host: nginx.fgedu.net.cn
http:
paths:
– path: /
pathType: Prefix
backend:
service:
name: nginx-service
port:
number: 80

– 网络策略加密：
# Calico网络策略加密
apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
name: encrypt-traffic
spec:
selector: all()
types:
– Ingress
– Egress
ingress:
– action: Allow
protocol: TCP
egress:
– action: Allow
protocol: TCP

# 5. 服务发现安全
1. 服务发现机制
– Kubernetes DNS：集群内部服务发现
– Consul：服务注册与发现
– etcd：分布式键值存储

2. 服务发现安全
– 访问控制：限制服务发现访问
– 加密通信：TLS加密
– 认证授权：服务身份验证
– 监控审计：服务发现监控

3. 服务发现配置
– Kubernetes DNS配置：
apiVersion: v1
kind: ConfigMap
metadata:
name: coredns
namespace: kube-system
data:
Corefile: |
.:53 {
errors
health
ready
kubernetes cluster.local in-addr.arpa ip6.arpa {
pods insecure
fallthrough in-addr.arpa ip6.arpa
}
prometheus :9153
forward . /etc/resolv.conf
cache 30
loop
reload
}

# 6. 网络安全最佳实践
1. 网络隔离
– 使用专用网络
– 配置网络策略
– 限制网络访问
– 网络分段

2. 网络监控
– 实时监控网络流量
– 检测异常活动
– 网络性能监控
– 安全审计

3. 网络加密
– TLS加密
– 网络策略加密
– 敏感数据加密
– 传输加密

4. 网络攻击防护
– 防火墙配置
– 入侵检测
– 流量过滤
– DDoS防护

5. 服务发现安全
– 访问控制
– 加密通信
– 认证授权
– 监控审计

# 1. Kubernetes安全架构
1. 集群安全
– 认证（Authentication）
– 授权（Authorization）
– 准入控制（Admission Control）
– 加密（Encryption）

2. 节点安全
– 节点访问控制
– 节点强化
– 容器运行时安全
– 节点监控

3. Pod安全
– 安全上下文
– 网络策略
– 资源限制
– 健康检查

# 2. 认证与授权
1. Kubernetes认证
– 服务账号（Service Accounts）
– 集群角色（Cluster Roles）
– 角色绑定（Role Bindings）
– 集群角色绑定（Cluster Role Bindings）

2. RBAC配置
– 创建角色：
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: pod-reader
namespace: default
rules:
– apiGroups: [“”]
resources: [“pods”]
verbs: [“get”, “watch”, “list”]

– 创建角色绑定：
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-pods
namespace: default
subjects:
– kind: User
name: user1
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io

3. 服务账号
– 创建服务账号：
apiVersion: v1
kind: ServiceAccount
metadata:
name: app-service-account
namespace: default

– 使用服务账号：
apiVersion: v1
kind: Pod
metadata:
name: app-pod
spec:
serviceAccountName: app-service-account
containers:
– name: app
image: nginx

# 3. Secrets管理
1. Kubernetes Secrets
– 创建Secret：
$ kubectl create secret generic mysecret –from-literal=password=secret

– 使用Secret：
apiVersion: v1
kind: Pod
metadata:
name: secret-pod
spec:
containers:
– name: app
image: nginx
env:
– name: PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password

2. 外部Secrets管理
– HashiCorp Vault：
# 安装Vault
$ helm repo add hashicorp https://helm.releases.hashicorp.com
$ helm install vault hashicorp/vault

# 配置Vault
$ kubectl exec -it vault-0 — vault operator init
$ kubectl exec -it vault-0 — vault operator unseal

– AWS Secrets Manager：
# 配置IAM角色
apiVersion: iam.aws.amazon.com/v1alpha1
kind: IAMRole
metadata:
name: secret-reader
spec:
assumeRolePolicyDocument:
Version: “2012-10-17”
Statement:
– Effect: “Allow”
Principal:
Service: “ec2.amazonaws.com”
Action: “sts:AssumeRole”

3. Secrets加密
– 启用Secrets加密：
# 生成加密密钥
$ head -c 32 /dev/urandom | base64

# 配置加密配置
apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
– resources: [“secrets”]
providers:
– aescbc:
keys:
– name: key1
secret:
– identity: {}

# 应用配置
$ kubectl apply -f encryption-config.yaml

# 4. 准入控制
1. 准入控制器
– PodSecurityPolicy：Pod安全策略
– ResourceQuota：资源配额
– LimitRanger：资源限制
– NetworkPolicy：网络策略
– PodDisruptionBudget：Pod中断预算

2. PodSecurityPolicy
– 创建PodSecurityPolicy：
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: restricted
spec:
privileged: false
allowPrivilegeEscalation: false
requiredDropCapabilities:
– ALL
volumes:
– ‘configMap’
– ’emptyDir’
– ‘projected’
– ‘secret’
– ‘downwardAPI’
– ‘persistentVolumeClaim’
runAsUser:
rule: ‘MustRunAsNonRoot’
seLinux:
rule: ‘RunAsAny’
supplementalGroups:
rule: ‘MustRunAs’
ranges:
– min: 1
max: 65535
fsGroup:
rule: ‘MustRunAs’
ranges:
– min: 1
max: 65535

– 授权PodSecurityPolicy：
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: psp:restricted
rules:
– apiGroups: [‘policy’]
resources: [‘podsecuritypolicies’]
verbs: [‘use’]
resourceNames: [‘restricted’]

3. 自定义准入控制器
– 准入Webhook：
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
name: validation-webhook
webhooks:
– name: validation-webhook.fgedu.net.cn
rules:
– apiGroups: [“”]
apiVersions: [“v1”]
operations: [“CREATE”, “UPDATE”]
resources: [“pods”]
clientConfig:
service:
namespace: default
name: webhook-service
path: /validate
admissionReviewVersions: [“v1”]

# 5. 集群安全配置
1. kube-apiserver安全配置
– 启用TLS：
–tls-cert-file=/etc/kubernetes/pki/apiserver.crt
–tls-private-key-file=/etc/kubernetes/pki/apiserver.key

– 启用RBAC：
–authorization-mode=RBAC

– 启用审计：
–audit-log-path=/var/log/kubernetes/audit.log
–audit-log-maxsize=100
–audit-log-maxbackup=10

2. kubelet安全配置
– 启用TLS：
–tls-cert-file=/etc/kubernetes/pki/kubelet.crt
–tls-private-key-file=/etc/kubernetes/pki/kubelet.key

– 启用RBAC：
–authorization-mode=Webhook

– 限制匿名访问：
–anonymous-auth=false

3. etcd安全配置
– 启用TLS：
–cert-file=/etc/kubernetes/pki/etcd/server.crt
–key-file=/etc/kubernetes/pki/etcd/server.key
–peer-cert-file=/etc/kubernetes/pki/etcd/peer.crt
–peer-key-file=/etc/kubernetes/pki/etcd/peer.key
–trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt

– 启用认证：
–client-cert-auth=true

# 6. 集群监控与审计
1. 监控
– Prometheus + Grafana：
# 安装Prometheus
$ helm repo add prometheus-community https://prometheus-community.github.io/helm-charts
$ helm install prometheus prometheus-community/kube-prometheus-stack

– 监控指标：
– 集群资源使用
– Pod状态
– 网络流量
– 安全事件

2. 审计
– Kubernetes审计日志：
# 配置审计策略
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
– level: RequestResponse
resources:
– group: “”
resources: [“secrets”]

– 审计日志分析：
– ELK Stack
– Splunk
– Datadog

# 7. 集群安全最佳实践
1. 认证与授权
– 使用RBAC
– 最小权限原则
– 定期轮换凭证
– 审计访问控制

2. Secrets管理
– 使用外部Secrets管理
– 加密Secrets
– 定期轮换Secrets
– 限制Secrets访问

3. 准入控制
– 启用PodSecurityPolicy
– 配置资源配额
– 使用网络策略
– 部署自定义准入Webhook

4. 集群配置
– 启用TLS
– 限制匿名访问
– 配置审计日志
– 定期更新组件

5. 监控与审计
– 实时监控集群状态
– 分析审计日志
– 检测异常活动
– 告警机制

# 1. 镜像安全最佳实践
1. 使用官方基础镜像
– 从可信源拉取镜像
– 验证镜像签名
– 定期更新基础镜像

2. 最小化镜像
– 使用最小基础镜像（如alpine）
– 减少镜像层数
– 清除构建缓存
– 只安装必要的包

3. 镜像扫描
– 构建时扫描
– 推送前扫描
– 部署前扫描
– 定期扫描

4. 镜像签名
– 使用Docker Content Trust
– 配置Notary服务器
– 验证镜像签名
– 拒绝未签名镜像

5. 私有镜像仓库
– 搭建私有Registry
– 配置访问控制
– 镜像版本管理
– 集成扫描工具

# 2. 运行时安全最佳实践
1. 最小权限原则
– 非root用户运行容器
– 限制容器capabilities
– 只读文件系统
– 网络隔离

2. 资源限制
– 内存限制
– CPU限制
– 磁盘限制
– 文件描述符限制

3. 运行时监控
– 部署Falco
– 配置安全规则
– 实时监控容器行为
– 告警机制

4. 容器逃逸防护
– 避免使用特权容器
– 限制挂载
– 隔离命名空间
– 内核安全补丁

5. 敏感信息保护
– 使用Secrets管理
– 避免环境变量存储敏感信息
– 日志安全
– 网络传输加密

# 3. 网络安全最佳实践
1. 网络隔离
– 使用专用网络
– 配置网络策略
– 限制网络访问
– 网络分段

2. 网络监控
– 实时监控网络流量
– 检测异常活动
– 网络性能监控
– 安全审计

3. 网络加密
– TLS加密
– 网络策略加密
– 敏感数据加密
– 传输加密

4. 网络攻击防护
– 防火墙配置
– 入侵检测
– 流量过滤
– DDoS防护

5. 服务发现安全
– 访问控制
– 加密通信
– 认证授权
– 监控审计

# 4. 编排安全最佳实践
1. 认证与授权
– 使用RBAC
– 最小权限原则
– 定期轮换凭证
– 审计访问控制

2. Secrets管理
– 使用外部Secrets管理
– 加密Secrets
– 定期轮换Secrets
– 限制Secrets访问

3. 准入控制
– 启用PodSecurityPolicy
– 配置资源配额
– 使用网络策略
– 部署自定义准入Webhook

4. 集群配置
– 启用TLS
– 限制匿名访问
– 配置审计日志
– 定期更新组件

5. 监控与审计
– 实时监控集群状态
– 分析审计日志
– 检测异常活动
– 告警机制

# 5. 持续集成/持续部署安全
1. CI/CD安全
– 安全扫描集成
– 自动化安全测试
– 部署前检查
– 回滚机制

2. 构建环境安全
– 隔离构建环境
– 构建缓存清理
– 敏感信息保护
– 构建过程审计

3. 部署安全
– 滚动更新
– 健康检查
– 蓝绿部署
– 金丝雀发布

4. 供应链安全
– 第三方依赖审计
– 软件物料清单（SBOM）
– 安全公告监控
– 依赖版本管理

# 6. 安全合规
1. 合规标准
– CIS Docker Benchmark
– CIS Kubernetes Benchmark
– NIST SP 800-190
– OWASP Container Security

2. 合规检查
– 定期进行合规扫描
– 生成合规报告
– 修复合规问题
– 持续合规监控

3. 安全审计
– 定期安全审计
– 漏洞管理
– 事件响应
– 安全培训

# 7. 安全事件响应
1. 事件响应流程
– 事件检测
– 事件分类
– 事件响应
– 事件恢复

2. 应急响应
– 应急响应团队
– 应急响应计划
– 应急演练
– 事后分析

3. 漏洞管理
– 漏洞发现
– 漏洞分级
– 漏洞修复
– 漏洞验证

4. 安全沟通
– 内部沟通
– 外部沟通
– 安全公告
– 安全报告

# 8. 容器安全工具链
1. 镜像安全工具
– Trivy：漏洞扫描
– Clair：镜像扫描
– Notary：镜像签名
– Cosign：容器签名

2. 运行时安全工具
– Falco：运行时监控
– Aqua Security：容器安全平台
– Sysdig Secure：运行时保护
– Cilium：网络安全

3. 编排安全工具
– Kubernetes RBAC：访问控制
– HashiCorp Vault：Secrets管理
-OPA：策略引擎
– Kyverno：策略管理

4. 监控与审计工具
– Prometheus + Grafana：监控
– ELK Stack：日志分析
– Splunk：安全分析
– Datadog：云监控

# 9. 容器安全成熟度模型
1. 初始级
– 基本容器使用
– 手动安全检查
– 有限的安全意识
– 被动响应

2. 可重复级
– 标准化容器流程
– 基本安全扫描
– 安全策略制定
– 主动预防

3. 已定义级
– 自动化安全流程
– 全面安全扫描
– 安全集成
– 持续改进

4. 已管理级
– 安全成熟度评估
– 高级安全工具
– 安全度量
– 预测性分析

5. 优化级
– 安全自动化
– 持续安全改进
– 安全创新
– 行业最佳实践

# 10. 未来趋势
1. 容器安全标准化
– 行业标准制定
– 安全框架成熟
– 合规要求明确

2. 智能化安全
– AI-based安全分析
– 自动安全响应
– 预测性安全

3. 云原生安全
– 云安全集成
– 服务网格安全
– 无服务器安全

4. 供应链安全
– SBOM普及
– 依赖审计自动化
– 安全供应链管理

5. 零信任架构
– 微分段
– 持续认证
– 最小权限

# 11. 总结
容器安全是一个综合性的系统工程，需要从镜像、运行时、网络、编排等多个层面进行防护。通过采用最佳实践，结合先进的安全工具，可以有效提升容器环境的安全性，保障业务系统的稳定运行。

在实际应用中，容器安全需要与企业的整体安全策略相结合，建立完善的安全体系，持续监控和改进，以应对不断演变的安全威胁。

随着容器技术的不断发展，容器安全也将面临新的挑战和机遇。企业需要保持对容器安全的关注，不断学习和采用新的安全技术和方法，确保容器环境的安全可靠。