近日，美国国家安全局（NSA）和网络安全与基础设施安全署（CISA）发布了一份网络安全技术报告——《K8S加固指南》。该指南详细叙述了K8S环境中存在的威胁，并提出了可以最大化降低风险的建议。Kubernetes（缩写为"K8S"）是一个开源系统，可以自动部署、扩展和管理容器化应用，并且通常托管在云环境中。与单体软件平台相比，将容器化应用作为微服务，提高了灵活性和安全性，但面临着一些之前未曾遇到过的风险与挑战。

>> 三大入侵来源 <<

据该指南介绍，Kubernetes 中有三个常见的入侵来源：

供应链风险：缓解供应链风险往往很有难度，通常是在容器构建周期或基础设施采购中出现的。

恶意行为者：恶意行为者可以利用 Kubernetes 架构的组件中的漏洞和错误配置，如控制平面、工作节点或容器化应用。

内部威胁：内部威胁可以是管理员、用户或云服务提供商。对组织机构的 Kubernetes 基础设施有特殊访问权的内部人员可能会滥用其特权。

对此，该指南详细叙述了加固K8S系统的建议，主要包括以下四个方面：

1. Kubernetes Pod安全

2. 网络隔离与加固

3. 认证与授权

4. 日志审计