云原生安全#

云原生安全与传统安全的最大区别，不是「用什么技术」，而是「威胁模型完全不同」。容器共享宿主机内核，Pod IP 动态变化，etcd 存储着所有密钥和配置——这些特性带来的攻击面，在传统虚拟机环境中根本不存在。

本专题覆盖云原生安全的完整知识体系：从容器镜像的安全扫描与签名，到 Kubernetes 的 RBAC、网络策略、Secret 管理，再到 Falco 运行时安全、OPA Gatekeeper 策略控制，以及供应链安全、SBOM 等前沿实践。

#核心内容

#安全责任

• 云原生安全概述 — 容器、K8s、服务网格带来的新挑战
• 云安全责任共担模型 — 云服务商与用户的责任边界

#镜像安全

• 容器镜像安全扫描 — Trivy、Grype、Clair 的使用
• 镜像签名与信任 — Cosign、Notary、TUF

#Kubernetes 安全

• Kubernetes RBAC 深度解析 — Role、ClusterRole、Binding
• Kubernetes 网络策略 — 命名空间隔离与工作负载隔离
• Pod 安全策略 — PSS 三级标准与 Security Context
• Kubernetes Secret 管理 — etcd 加密与 External Secrets
• Kubernetes 审计日志 — 审计策略配置与异常检测
• Kubernetes 攻击面分析 — 攻击路径与真实案例

#运行时安全

• 容器运行时安全 — Falco 规则与告警
• 容器逃逸防护 — 特权容器、内核漏洞的防护

#策略即代码

• OPA Gatekeeper 策略即代码 — ConstraintTemplate 与 Constraint

#服务网格安全

• 服务网格安全 — mTLS、自动证书轮转、AuthorizationPolicy

#云安全平台

• CWPP 云工作负载保护平台 — 漏洞管理、运行时保护
• CSPM 云安全态势管理 — 合规评估、资产发现

#评估工具

• Kube-bench 合规检查 — CIS Benchmark 自动化评估
• Kube-hunter 安全渗透 — K8s 渗透测试

#供应链安全

• 容器环境供应链安全 — SLSA、sigstore
• SBOM 软件物料清单 — SPDX、CycloneDX 格式与应用

#工具链

• 云原生安全工具链 — 建设路径与工具选型

#攻击路径

flowchart TB
    A[攻击入口] --> B{侦察阶段}
    B --> C[未授权 API 访问]
    B --> D[容器镜像漏洞]
    B --> E[Kubectl 配置泄露]
    C --> F[RBAC 提权]
    D --> G[容器逃逸]
    E --> G
    F --> H[横向移动]
    G --> H
    H --> I[访问 ETCD]
    H --> J[攻击其他 Pod]
    I --> K[数据窃取]
    J --> L[挖矿/DoS]

#思考题

问题 1：在 Kubernetes 环境中，为什么「容器逃逸」是比「容器内提权」更严重的安全问题？防御方应该如何防止容器逃逸？

问题 2：Sigstore 的 Cosign 和传统 Docker Content Trust 在镜像签名方面有什么核心区别？为什么说 Sigstore 更适合云原生环境？