TOC\o"1-3"\h\u11519 18205 3297111. 3290481.1 3189801.2 4219772. 56205 5277692) 531161 724463 717153 9247645)混合無服務(wù)器架構(gòu)（私有和公有 9231753. 9129613.1 10242143.2 11286373.3 1199294. 128165. 15261545.1– 158609 166974 1724271 189617 1929915 2521629服務(wù)提供者的部署威脅(參考5.3三 29257386. 3185076.1 3330608 3457696.2 39159116.3CI-CD流水線、函數(shù)代碼、代碼掃描以及函數(shù)和容器的策略實(shí) 4014947 4010841 4212965 4216043 4225482 4313065 43326176.4 4418976 4431012 458848 475910 4727286Kubernetes 484753 5121023Kubernetes 5320519 55139286.5 6124398 617053 629256 63275847. 64257097.1 6528922 6530923 6525949 66118427.2 6760667.3 6932569自我保護(hù): 70196048. 7019040 722643 77service的無服務(wù)器（也稱為函數(shù)即服務(wù)FaaS。（CISO支付通常和實(shí)際的物理資源（CPU）使用量有關(guān)。在底層，執(zhí)行代碼的?服務(wù)器?仍然存在，但從應(yīng)用程序所有者那里抽象出來。2)FaaSFaaS下，應(yīng)用程序所有者提FaaS的擴(kuò)展包括給服務(wù)提供者第二個(gè)常見選項(xiàng)是讓應(yīng)用程序所有者提供其控件的容器鏡像作為可調(diào)用單元。S服務(wù)提供者負(fù)責(zé)實(shí)現(xiàn)正確數(shù)量的可調(diào)用單元實(shí)例，以響應(yīng)任何給定時(shí)間的事件。KubernetesFunctionGoogleCloudFunctionsAWSFargateGoogleCloudIBMCodeAWSRedHatOpenshift基AWSGoogleGKEAzureAKSIBM（5.3中的"服務(wù)提供者控制的安事件是在無服務(wù)器環(huán)境中可能導(dǎo)致特定函數(shù)被觸發(fā)的條件——它可能包括新的附加處理時(shí)間被累計(jì)用于計(jì)費(fèi)。?事件因事件的來源和事件的類型而有所不同。如定時(shí)器事件、web請求觸發(fā)的事件、無服務(wù)器責(zé)任模型詳圖IAMIAM5)混合無服務(wù)器架構(gòu)（私有和公有業(yè)界存在許多無服務(wù)器架構(gòu)，以下常見的基礎(chǔ)設(shè)施示例有（部分亞馬遜：Lambda,FargateAWS谷歌：CloudFunctionsKnative,Cloud微軟：AzureFunctionsAzureContainer紅帽：Koitine（OpenShift的一部分(API的開箱即用的日志記錄和監(jiān)控解決方案。該平臺由CICD當(dāng)存在相對較大的應(yīng)用程序或應(yīng)用程序集以及成熟的軟件開發(fā)和運(yùn)營(DevOps)團(tuán)（BestPracticesinImplementingaSecureMicroservicesArchitecture如可復(fù)用性。支持微服務(wù)的資源不足可能會導(dǎo)致團(tuán)隊(duì)需要停止一個(gè)微服務(wù)以支持另一個(gè)同樣重要并需要注意的是，幾乎在所有情況下，無服務(wù)器架構(gòu)可簡化部署過程。部應(yīng)和網(wǎng)絡(luò)架構(gòu)。所以企業(yè)在決定組織在決定使用無服務(wù)器體系結(jié)構(gòu)時(shí)，需要執(zhí)行業(yè)務(wù)影無服務(wù)器可用于圖片識別和處理。例如谷歌VisionRekognition服務(wù)，然-流水線需要快速迭代軟件開發(fā)的能力。無服務(wù)器可以自動化許多這些過程。以確保在人工審查之前對代碼進(jìn)行了良好的測試。在任何需要自動化的地方，都有可能使用無服務(wù)器應(yīng)用程序簡化或加速自動化，并可以輕松地從工作流程中消除手動任務(wù)。其他任務(wù)，比如CI-CD流水線中自動掃描發(fā)現(xiàn)漏洞時(shí)強(qiáng)制中斷構(gòu)建。–調(diào)用實(shí)現(xiàn)并可能成為微服務(wù)中的RestAPI，現(xiàn)在轉(zhuǎn)變成了由云服務(wù)提供者（CSP）來提交、排隊(duì)、處理的事件。云服務(wù)提供者（CSP）會跟進(jìn)直至實(shí)際數(shù)據(jù)被功能函數(shù)處理完成--一服務(wù)提供者--這個(gè)過程再次要求重構(gòu)服務(wù)消費(fèi)者的權(quán)限和義務(wù)，以此來保證基于無服務(wù) Rest /工作、云資源的供應(yīng)和配置等，統(tǒng)稱為應(yīng)用程序擁有者設(shè)置階如微服務(wù)財(cái)政和資源枯竭（如果已設(shè)定資源限制本文將與應(yīng)用程序使用的服務(wù)提供者提供的服務(wù)相關(guān)的威脅集命名為服務(wù)提供者的賴項(xiàng)、個(gè)人和其他資產(chǎn)。這些威脅包括無服務(wù)器獨(dú)有的，也包括與其他服務(wù)中相似的：.7.1,.7.1,.7.1,見章節(jié)6,CI/CD自作為CI/CD實(shí)踐的一部分，自動6.1,-每個(gè)此類事件都信息意外泄露給攻擊者--這適用于所有見章節(jié)6,見章節(jié)6,見章節(jié)6見章節(jié)6見章節(jié)66.3.2，戶使用webAPI、通過CLI見章節(jié)66.3.6，部“易受攻擊的依賴項(xiàng)”“易受攻擊的基礎(chǔ)鏡像”“可被利用的代碼庫和基礎(chǔ)鏡像注冊、“針對/通過構(gòu)建部署工具進(jìn)行攻擊”。應(yīng)用程序所有者在部署階段所面臨的威脅（5.3二)）Web在無服務(wù)器中，多租戶應(yīng)該是“按設(shè)計(jì)”統(tǒng)邏輯。一些無服務(wù)器函數(shù)通過公開的webAPIs對外開放，其他函數(shù)可能作為進(jìn)程或其NoSQLIoT設(shè)備遙測信號以及SMS服務(wù)提供者的部署威脅(參考5.3三此服務(wù)者正在重用為多個(gè)事件服務(wù)的可調(diào)度單元來大幅減少因?qū)嵗舷抡{(diào)度而帶來的開脅，即前面章節(jié)定義的可調(diào)用單元調(diào)用之間的泄漏。第二個(gè)被定義為不同可調(diào)用單元之間的泄漏的威脅顧及了在同一運(yùn)行時(shí)環(huán)境中可FaaS在地利用后續(xù)可調(diào)用單元中的漏洞。基于領(lǐng)域驅(qū)動架構(gòu)(MartinFowler)，關(guān)于事件驅(qū)動微服務(wù)(同步和異步事件驅(qū)動的微服接口-API和協(xié)議網(wǎng)絡(luò)阻塞點(diǎn)（例如，無服務(wù)器平臺性能問題）防火墻、IDS/IPS和SIEM等傳統(tǒng)安全控制無法有效應(yīng)對這種增加連接和集成應(yīng)用程序架構(gòu)師必須認(rèn)識到無服務(wù)器技術(shù)中存在的固有缺陷和他們在設(shè)計(jì)中可能引（釋）。為其可能集成了跨CSP環(huán)境中的各種服務(wù)和依賴項(xiàng)。例如，后端數(shù)據(jù)庫可能位于Azure的RDS或MSSQL中。在無服務(wù)器世界中，與云客戶相比，CSP(CSC)的責(zé)CSP提供的API網(wǎng)關(guān)可以在公共互聯(lián)網(wǎng)上的任何地方訪問，訪問權(quán)限通過API密鑰進(jìn)行控制。有云(VPC)網(wǎng)絡(luò)策略配置來實(shí)現(xiàn)。AWSVPC端點(diǎn)、AzureVNetGoogleVPC務(wù)的分布式API功能的日志記錄不足：日志記錄提供了實(shí)體在給定時(shí)間段內(nèi)進(jìn)行的活動的記錄。它提供對系統(tǒng)在無服務(wù)器領(lǐng)域記錄日志的最佳實(shí)踐是將記錄的值結(jié)構(gòu)化。結(jié)構(gòu)化日志更容易解析。另一個(gè)最佳實(shí)踐是確定所需的日志級別或詳細(xì)程度，以便日志在需要時(shí)能提供有價(jià)值的信息。應(yīng)利用日志來監(jiān)控異常模式或條件，以提醒和通知操作人員采取糾正措施。確保您使用的是可以集中的集成日志記錄，這樣就可以方便地對整體應(yīng)用的性能和安全進(jìn)行監(jiān)控。平臺提供者的日志記錄將有助于收集有關(guān)功能執(zhí)行的數(shù)量、持續(xù)時(shí)間和內(nèi)存使用情況的統(tǒng)計(jì)信息。通過在無服務(wù)器功能中根據(jù)需要添加的日志語句，可以可視化應(yīng)用的錯(cuò)誤。例如，您的錯(cuò)誤日志是否使您能夠確定故障是發(fā)生在自己定義的進(jìn)程中還是來自意外的數(shù)據(jù)輸入，或者是第三方函數(shù)進(jìn)程的結(jié)果？路徑。應(yīng)該監(jiān)控和發(fā)現(xiàn)公開的所有API或端點(diǎn)，以及所有下游或依賴的API。應(yīng)該無服務(wù)器為特定的需求或任務(wù)（網(wǎng)絡(luò)策略、命令行界面）您必須了解這些PaaS例如，如果使用PaaS數(shù)據(jù)服務(wù)（例如：AmazonS3、EMRRedShift），那就仍然在隨著應(yīng)用程序的規(guī)模和復(fù)雜性不斷增長，存儲和維護(hù)應(yīng)用程序密鑰（API密鑰、加密開箱即用的S（PI敏感數(shù)據(jù)、法規(guī)遵從性要求等）并在默認(rèn)S產(chǎn)品之上升級安全性。租戶可以考慮的一些問題是-您是否正在設(shè)計(jì)無服務(wù)器應(yīng)用是否會訪問和處理機(jī)密數(shù)據(jù)或受高度監(jiān)管的數(shù)有租戶的安全需求。租戶應(yīng)確定其安全級別（PII數(shù)據(jù)、敏感數(shù)據(jù)、法規(guī)遵從性要求等）并在默認(rèn)CSP產(chǎn)品的基礎(chǔ)上升級安全性。[IEEESpectrum,2020]。這可以幫助您決定是使用服務(wù)器功能還是其他計(jì)算選項(xiàng)來確定包含在您的無服務(wù)器應(yīng)用中每個(gè)Paa數(shù)據(jù)服務(wù)的默認(rèn)或托管的加密選項(xiàng)，并保存好這些機(jī)密或高度監(jiān)管的數(shù)據(jù)。確保您對Paa數(shù)據(jù)服務(wù)的使用和配置將滿足機(jī)密計(jì)算是昂貴的，隨著設(shè)計(jì)決策的不斷演進(jìn)，必須權(quán)衡解決方案的可行性以及機(jī)密計(jì)算附加的對服務(wù)執(zhí)行性能的影響。云服務(wù)遵循云服務(wù)提供者和云服務(wù)客戶之間的共享責(zé)任模型對于無服務(wù)器也是保護(hù)服務(wù)器和操作系統(tǒng)），租戶則通過安全控制負(fù)責(zé)云內(nèi)的安全，例如AA（Auh、AuhZ、審計(jì)日志SD、注意：所有適用于FaaS的安全控制也適用于基于容器鏡像的無服務(wù)器，因?yàn)镕aaS我們正在轉(zhuǎn)向FaaS模型，目前已經(jīng)有幾個(gè)開源的FaaS框架。應(yīng)用程序團(tuán)隊(duì)的安全所有者現(xiàn)在可以將擴(kuò)展（Lambda擴(kuò)展、Knative等）-捕功能配置審計(jì)（CI-CD身份和訪問管理（用戶和應(yīng)用程序身份管理、Federation、SAML2.0、訪問控制、平臺服務(wù)提供者APICI-CDCI-CD流水線、函數(shù)代碼、代碼掃描以及函數(shù)和容器的策略實(shí)結(jié)果準(zhǔn)確性-當(dāng)函數(shù)有時(shí)限，且超過該時(shí)限函數(shù)就會被停止時(shí)，將帶來問題。靜態(tài)–通過代碼掃描列出開源組件和賬戶中所有開源庫的清單。在需要時(shí)，-git、svn、GitHub、bitbucketSDLCCI/CDJenkins、TeamCity、BambooMaven、Ant等工具的簡單與Jira和ServiceNow等錯(cuò)誤跟蹤系統(tǒng)輕松集成。這樣可以在掃描代碼時(shí)輕松集成BufferOverflow、SQL注入缺陷、不安全的反序(IaC)模板完成的?？梢話呙柽@些模板，如CloudFormation、Terraform，以確保功能被安全部署，而不會出現(xiàn)導(dǎo)致安全信息請參見API安全（OWASP十大安全漏洞)。使用極簡操作系統(tǒng)配置，及使用Seccomp來保護(hù)系統(tǒng)調(diào)用免受濫用。Kueret是一個(gè)用于部署容器化應(yīng)用程序的開源編排器。由于Kuernte完全是由AP驅(qū)動的，控制和限制可以訪問集群的對象及其可以執(zhí)行的操作是第一道防線。一個(gè)Kueret集群提供了一個(gè)編排AP，允許用簡單的聲明式語法定義和部署應(yīng)用程序。KueretsAP以及在服務(wù)的多個(gè)副本之間分發(fā)流量。此外，Kueret還提供了用于命名和發(fā)現(xiàn)服務(wù)的工具，以便構(gòu)建松散耦合的微服務(wù)體系結(jié)構(gòu)。Kueret希望所有AP通信都默認(rèn)使用TS加密。所有AP客戶端都必須經(jīng)過身份驗(yàn)證，即使是節(jié)點(diǎn)、代理、調(diào)度器和存儲插件等基509控制平面的主要組件包括KubernetesAPIKubernetes的RESTAPIAPI具有完全權(quán)限的用戶在集群中的每臺計(jì)算機(jī)上都具有相同的根訪問權(quán)載。對KubernetesAPI具有寫訪問權(quán)的用戶可以作為根用戶控制集群。所有用于API服務(wù)器開。KubernetesAPI服務(wù)器應(yīng)配置為根據(jù)請求的數(shù)量進(jìn)行擴(kuò)展，以確保集群能夠處理較大了安全起見，機(jī)密信息不應(yīng)僅依賴于靜止的ETCD加密。KubernetesAPI應(yīng)該部署在具備高端口上API2380端口上其他ETCDETCD節(jié)點(diǎn)應(yīng)部署在一個(gè)高是高可用性所必需的。ETCD節(jié)點(diǎn)應(yīng)部署到API服務(wù)器和其他Kubernetes組件以外的單獨(dú)實(shí)例中。為了防止出現(xiàn)問題，Kubernetes審計(jì)、身份認(rèn)證、API、控制管理器和調(diào)度日志應(yīng)集群應(yīng)該與企業(yè)身份和訪問管理集成。Kubernetes主機(jī)不應(yīng)該擁有公共IP地址。Kubernetes主機(jī)應(yīng)在經(jīng)批準(zhǔn)的操作系統(tǒng)上運(yùn)行。[Kubernetes,2021]Pod安全策略應(yīng)在集群級別定義并由集群中的所有PodPod作為特權(quán)用戶運(yùn)行，也不應(yīng)允許升級權(quán)限。Kubernetes工作節(jié)點(diǎn)不應(yīng)該被分配公共IP地址，并且應(yīng)僅在負(fù)載均衡器或代理服務(wù)器之后提供流量。Pod被動態(tài)授予基于KubernetesWebhook生成。PodPod不應(yīng)擁podPod和其中容器的安全是保護(hù)容器環(huán)境的一個(gè)關(guān)鍵因素。這些易受到攻擊的單KubernetesKubernetes和其他容器編排系統(tǒng)提供的功能可以使用戶加固和保護(hù)Pods，例如Kubernetes安全上下文和安全策略（如Pod安全策略）還有其他開源工具，例如\hOpenPolicyAgent(OPA)，它們也可以強(qiáng)制執(zhí)行安全策略。pod含在容器清單中；當(dāng)存在重疊或沖突時(shí)，單個(gè)容器的限制將優(yōu)先于pod指定的限制。（Docker、Quay等）中提取的，并存儲在組織的鏡像注冊表/存儲庫中。這些鏡像應(yīng)作為已批準(zhǔn)和授權(quán)的版本提供給工程團(tuán)隊(duì)，以供在組織內(nèi)使用。根據(jù)NIST800-190，組織應(yīng)使用特定主機(jī)操作系統(tǒng)的極簡容器，并盡可能禁用所有其他服務(wù)和功能。組織應(yīng)根據(jù)行互聯(lián)網(wǎng)安全中心CIS基準(zhǔn)）CI/CD流水線自動構(gòu)建、標(biāo)記和測試基礎(chǔ)鏡像。系統(tǒng)通過要求開發(fā)、測試和安MFATLS以在不可信網(wǎng)絡(luò)傳輸時(shí)保護(hù)敏感的RBACABAC訪問控制并確保所有用戶擁有執(zhí)行其任務(wù)所必需的用相應(yīng)的哈希值（commithash）標(biāo)記容器鏡像可以輕松地將鏡像追溯到歷對鏡像進(jìn)行特定證明。如果不滿足定義的策略，則可以取消部署鏡像。KubernetesKubernetesK8s)是一個(gè)開源編排平臺，可自動部署、擴(kuò)展和管理容器化應(yīng)用程序。Kubernetes控制平面將整個(gè)集群的狀態(tài)和配置數(shù)據(jù)存儲在ectd(一個(gè)持久的分布式鍵值數(shù)據(jù)存儲系統(tǒng))ectd，并且通過它，節(jié)點(diǎn)可以學(xué)習(xí)如何維護(hù)它K8skube-Apiserveretcd中的配APIK8s沒有KubernetesAPIAPIHTTPAPI，允許最終用戶、集群的不同部分和外部組件相互通信。KubernetesAPI允許您查詢和操作KubernetesAPI對象的狀態(tài)（例如Pod、命名空間、配置地圖和事件）都可以通過kubectl命令行界面執(zhí)行，該界面通過REST調(diào)用使用API。網(wǎng)絡(luò)策略是KubernetesPods組如何相互通信及如何與其他網(wǎng)絡(luò)端點(diǎn)通信。網(wǎng)絡(luò)策略在OSI模型的第3層（網(wǎng)絡(luò)層）和第4層（傳輸層）上運(yùn)行。Kubernetes網(wǎng)絡(luò)Kubernetes（pods）相互通信以及如何與其他網(wǎng)絡(luò)端點(diǎn)通信。網(wǎng)絡(luò)策略資源使用標(biāo)簽來選擇Pods并定義規(guī)則，指定允許哪些流量進(jìn)入所選的Pods。Pod的IP地址不是持久的，并且會隨其擴(kuò)展或縮小、應(yīng)用程序崩潰或節(jié)點(diǎn)重新啟動而出現(xiàn)和消失。Kubernetes中內(nèi)置了服務(wù)來解決這個(gè)問題。KubernetesService管理一組PodsPodIPPods的抽象，并將單個(gè)虛擬IP地址分配給一組PodIPIP的任何流量都將路由到與虛擬IP關(guān)聯(lián)的一組PodsPods要知道服務(wù)不會更改的虛擬IP。Istio服務(wù)網(wǎng)格是一個(gè)安全服務(wù)層，為支持的協(xié)議提供基于策略的路由和基于策略的Istio策略在“服務(wù)”（OSI7層）上運(yùn)行。服務(wù)網(wǎng)格將代理和節(jié)點(diǎn)代理容器注pod的網(wǎng)絡(luò)命名空間并透明地?cái)r截流量以應(yīng)用策略。Pod的服務(wù)帳戶令牌為代理獲取平臺證書，并使用代理的密鑰發(fā)現(xiàn)服務(wù)(SDS)將證書/podspodTCP流量將通過作為pod中的“sidecar容器運(yùn)行的特使代理重定向，并且可以擴(kuò)展以支持外部須與Istio入口網(wǎng)關(guān)集成。和服務(wù)B）。除了IstioProxy/Envoysidecar，應(yīng)用程序pod還可以包含Github博客中建議的賬戶都可以被授權(quán)訪問API。當(dāng)請求到達(dá)API服務(wù)器時(shí)，它會執(zhí)行一系列檢查從而決定是式實(shí)現(xiàn)，例如：利用Webhook授權(quán)模塊，通過OPA(OpenPolicyAgent)實(shí)現(xiàn)高級授權(quán)策略在請求經(jīng)過身份驗(yàn)證和授權(quán)之后，攔截對KubernetesAPI服務(wù)器的請求。PodSecurityPolicy——為所有創(chuàng)建的pod應(yīng)用提供各種安全機(jī)制的方法。NodeRestriction控制kubelet行由策略引擎開放策略代理執(zhí)行的基于CRD的策略。通過網(wǎng)關(guān)的審計(jì)功能，管理員可以Istio服務(wù)網(wǎng)格——證書對證書進(jìn)行驗(yàn)證，然后從客戶端證書中提取SPIFFE(SecureProductionIdentityFrameworkforEveryone)URI，并將其用作為身份憑證。在服務(wù)網(wǎng)格之外讓客戶端和服務(wù)Istio服務(wù)網(wǎng)格——命名空間管理員能在命名空間中置服務(wù)授權(quán)策略。這些策略使用8sAP將策略配置為8自定義資源定義（D）。與其他8的D一樣，授權(quán)策略是基于命名空間的，服務(wù)管理員必須對服務(wù)的8s命名空間中的策略D當(dāng)為服務(wù)啟用授權(quán)時(shí)，只對策略允許服務(wù)的放開訪問請求（Kubernetes示例：APIAPIAPI的主動訪問權(quán)的情況下，大部分集群的安全配置都應(yīng)用在API上。在這個(gè)例子中，其他人可能獲得各種敏感信息，并獲得對集群本身的控制。就安全性而言，謹(jǐn)慎管理對API服務(wù)器的訪問至關(guān)重API服務(wù)器控制所有K8s集群上工作負(fù)載的訪問和這些負(fù)載使用，因此有大量的集群安全配置和應(yīng)用在API服務(wù)器上。如果不懷好意的人通過K8sAPI服務(wù)器獲得了對特權(quán)資下面列舉了在APINetflix在他們的建議中宣布了8個(gè)影響HTTP/2的漏洞;CVE-2019-9512“PingFlood”和CVE-2019-9512“PingFlood”：攻擊者用連續(xù)的ping請求流攻擊HTTP/2服務(wù)偵聽器。CVE-2019-9514“ResetFlood”:這個(gè)攻擊和第一個(gè)類似，除了它利用HTTP/2的實(shí)現(xiàn)。當(dāng)服務(wù)器收到無效的數(shù)據(jù)時(shí)，服務(wù)器發(fā)送RST_STREAM幀給攻擊者來取消根據(jù)我們2018-2019年全球應(yīng)用和網(wǎng)絡(luò)安全報(bào)告，HTTPS洪水攻擊或利用SSL/TLSKubernetes錯(cuò)誤配置的HTTP標(biāo)頭、不必要的HTTP方法等的結(jié)果。攻擊者將通過這些錯(cuò)誤配置來利用這些未修補(bǔ)的缺陷、常見端點(diǎn)或未受保護(hù)的文件和目錄以獲得未經(jīng)授權(quán)的訪問。CIS使用AutocheckerKubernetesetcd的分布式鍵值存儲中。任何可以對etcd執(zhí)行寫操作的用戶都可以有效控制Kubernetes集群。審查和更新整個(gè)API堆棧的配置。審查應(yīng)包括編排文件、API通過自動化流程持續(xù)評估所有設(shè)置環(huán)境中配置（配置缺陷）持續(xù)監(jiān)控基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和API功能（可能通過自動化）在整個(gè)生命周期中掃描鏡像的漏洞至關(guān)重要。權(quán)衡組織的風(fēng)險(xiǎn)承受能力與開發(fā)速度KubernetesKubernetes是一個(gè)開源容器編排引擎，用于自動部署、擴(kuò)展和管理容器化應(yīng)用程序。KubernetesK8s集群由托管應(yīng)用程序的工作節(jié)點(diǎn)/PodKubernetes控制平臺管理集群中的pod網(wǎng)絡(luò)。我將從下面四個(gè)部分介紹Kubernetes和容器安全最佳實(shí)踐：服務(wù)網(wǎng)格是在高性能“sidecar”Envoy默認(rèn)情況下，Kubernetespod-to-podKubernetes對象上實(shí)施自定義策略，而無需重新編譯或重新配置KubernetesAPI服務(wù)器。DDOS攻擊。這是網(wǎng)絡(luò)上的專用計(jì)算機(jī)，專門設(shè)計(jì)和配置以抵御攻擊。對主節(jié)點(diǎn)的訪問只能通過Kubernetes具有特權(quán)訪問權(quán)限的用戶。KubernetesLinuxLinux內(nèi)核有幾個(gè)安全擴(kuò)展(SELinux)，可以配置它們以向應(yīng)用程序提供最小權(quán)限。Linux內(nèi)核有許多交叉的安全擴(kuò)展（capabilities、SELinux、AppArmor、seccomp-bpf），可KubernetesLinuxCIS基準(zhǔn)測Linux循軟件監(jiān)管鏈。二進(jìn)制授權(quán)、標(biāo)簽、證明等是這些如何實(shí)現(xiàn)的示例。etcdetcdKubernetes-它應(yīng)該與集第二部分容器安全Pod策略是一個(gè)可選的準(zhǔn)入控制器，默認(rèn)通過API啟用；因此，策略可以在不啟用PSP許PodAPI服務(wù)器，則應(yīng)在開發(fā)工作流中規(guī)范使用靜態(tài)分析組rootroot身份運(yùn)行的容器通常擁有遠(yuǎn)超其工作負(fù)載所需的權(quán)限，如果受到攻擊，可能CI/CDKubernetes中的所有內(nèi)容都部署為容器鏡像。當(dāng)有人創(chuàng)建一個(gè)應(yīng)用程序時(shí)，它會成為一個(gè)容器鏡像并被添加到容器注冊表中。容器鏡像掃描器需要成為CI/CD流水線的一部分。當(dāng)有人創(chuàng)建容器Kubernetes中的準(zhǔn)入控制器執(zhí)行鏡像白名單。如果您的應(yīng)用程序使用某些鏡像，則這些鏡像需要被批準(zhǔn)。Kubernetes中處理任何應(yīng)漏洞掃描（BlackDuck、Tenable等）如果持續(xù)進(jìn)行，可以幫助組織領(lǐng)先于威脅代理。這些務(wù)、監(jiān)管要求或聲譽(yù)。示例：PCIDSS3.2.1要求應(yīng)在30天內(nèi)修復(fù)高/關(guān)鍵類型的已知漏DevSecOpsDevSecOpsDevSecOps的敏捷流程也必須是安全(RBAC)為用戶訪問資源（例如訪問命名空間）提供細(xì)粒度的策略管理?？缃M織集中身份驗(yàn)證和授權(quán)（又名單點(diǎn)登錄）助力用戶的入職、離職和一致性APIKubernetes-KubernetesAPI的訪問，管理員需要創(chuàng)建API安全性（OWASP10名API對于大規(guī)模自動化容器管理至關(guān)重要。APIAPIAPI中的這些漏洞來破壞應(yīng)用程序。請參閱\hOWASPTop10威脅和緩解措施KubernetesKueret允許通過準(zhǔn)入控制器Weboo將策略決策與APho是TTWeboo，驗(yàn)證準(zhǔn)入Weho和變異準(zhǔn)入WebooWeboo服務(wù)器的對象以強(qiáng)制執(zhí)行自定義默認(rèn)值。在所有對象修改完成之后，以及在傳入對象被AP服務(wù)器驗(yàn)證之后，將調(diào)用驗(yàn)證準(zhǔn)入Weboo，并并拒絕請求以強(qiáng)制執(zhí)行自定義策略。開放策略代理（P）是一個(gè)開源的通用策略引擎，它統(tǒng)一了整個(gè)堆棧的策略實(shí)施。它提供了一種高級聲明性語言，允許您將策略指定為代碼，并使用簡單的AP從軟件中卸PAKubrnte/DAP網(wǎng)關(guān)等方面實(shí)施策略。網(wǎng)關(guān)是一個(gè)驗(yàn)證（變異）Weho，它強(qiáng)制執(zhí)行由開放策略代理執(zhí)行的基于D的策略。網(wǎng)關(guān)的審計(jì)功能允許管理員查看當(dāng)前違反任何給定策略的資源。\h權(quán)限升級到限制容器的用戶和組Kube_api修改性質(zhì)的Kube_api修改性質(zhì)的驗(yàn)證性質(zhì)的(基于角色的訪問/流水線中。這樣，無組織也可以采用輪詢方法來收集資產(chǎn)清單。在無服務(wù)器中，為組織激活的AP每天被輪詢一定次數(shù)。通過采用兩次連續(xù)輪詢運(yùn)行的增量，在組織的資產(chǎn)庫存中更新信息。理論上，將此風(fēng)險(xiǎn)轉(zhuǎn)移到S應(yīng)該可以降低總體風(fēng)險(xiǎn)。有一個(gè)廣泛的假設(shè)，即云提供商正新的攻擊載體已經(jīng)出現(xiàn)在完整的列表中；請參閱云安全聯(lián)盟的無服務(wù)器應(yīng)用程序的12大風(fēng)險(xiǎn)。隱私。無服務(wù)器架構(gòu)工具依這種體驗(yàn)依舊非常分散。全面采用無服務(wù)器架構(gòu)技術(shù)需要消費(fèi)者具備在云服務(wù)提供者之上創(chuàng)建多云策略或抽的環(huán)境中，以檢查和減輕安