CKS考试通关后，我总结了这5个Kubernetes安全实战场景（含Falco、AppArmor、OPA配置）-编程实验室

Kubernetes安全专家认证(CKS)实战：5大关键安全场景深度解析

1. 容器运行时安全监控：Falco高级配置

Falco作为云原生运行时安全的事实标准工具，能够实时检测容器中的异常行为。以下是生产环境中Falco的进阶配置方法：

核心检测规则定制：

- rule: Unauthorized Package Management desc: 检测容器内未经授权的包管理操作 condition: > container_started and (spawned_process and package_mgmt_procs) output: > 检测到容器内包管理操作 (container=%container.name image=%container.image.repository) priority: WARNING tags: [container, process, mitre_persistence]

日志格式化输出最佳实践：

# 修改/etc/falco/falco_rules.yaml中的输出格式 output: > %evt.time,%container.id,%container.name,%user.name

关键配置参数：

参数	推荐值	说明
file_output.enabled	true	启用文件输出
file_output.keep_alive	false	防止日志文件占用
json_output	true	结构化日志便于分析
priority	WARNING	默认告警级别

提示：生产环境建议将Falco日志接入SIEM系统，并设置至少30秒的日志采集间隔以确保事件完整性

2. 文件系统防护：AppArmor实战部署

AppArmor作为Linux内核安全模块，可有效限制容器对主机文件系统的访问。以下是生产级配置方案：

基础防护配置文件：

#include <tunables/global> profile docker-nginx flags=(attach_disconnected) { #include <abstractions/base> # 只读路径 deny /etc/passwd w, deny /etc/shadow w, # 可写目录 /tmp/** rw, /var/log/nginx/** rw, # 网络权限 network inet tcp, }

Kubernetes集成步骤：

将配置文件保存到/etc/apparmor.d/containers/docker-nginx
加载配置文件：apparmor_parser -r /etc/apparmor.d/containers/docker-nginx
验证加载状态：apparmor_status | grep docker-nginx

部署YAML示例：

apiVersion: apps/v1 kind: Deployment metadata: name: nginx-secure spec: template: metadata: annotations: container.apparmor.security.beta.kubernetes.io/nginx: localhost/docker-nginx spec: containers: - name: nginx image: nginx:1.19

3. 镜像策略强制：OPA Gatekeeper高级策略

Open Policy Agent(OPA)的Gatekeeper组件可实现Kubernetes资源的策略即代码。以下是镜像黑名单的强化实现：

约束模板(ConstraintTemplate)：

apiVersion: templates.gatekeeper.sh/v1beta1 kind: ConstraintTemplate metadata: name: k8sblacklistedimages spec: crd: spec: names: kind: K8sBlacklistedImages targets: - target: admission.k8s.gatekeeper.sh rego: | package k8sblacklistedimages violation[{"msg": msg}] { input.review.object.kind == "Pod" image := input.review.object.spec.containers[_].image startswith(image, "very-bad-registry.com/") msg := sprintf("禁止使用黑名单镜像: %v", [image]) }

约束规则(Constraint)：

apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sBlacklistedImages metadata: name: block-bad-registry spec: match: kinds: - apiGroups: [""] kinds: ["Pod"]

策略测试方法：

kubectl run test --image=very-bad-registry.com/malware --dry-run=server # 应返回策略拒绝信息

4. 网络隔离：NetworkPolicy精准控制

NetworkPolicy是Kubernetes中实现Pod间网络隔离的核心机制。以下是保护元数据服务的典型场景：

元数据访问限制策略：

apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: deny-metadata-access namespace: default spec: podSelector: {} policyTypes: - Egress egress: - to: - ipBlock: cidr: 0.0.0.0/0 except: - 192.168.100.21/32 # 元数据服务器IP

特权访问例外策略：

apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-metadata-access namespace: default spec: podSelector: matchLabels: role: metadata-accessor policyTypes: - Egress egress: - to: - ipBlock: cidr: 192.168.100.21/32

策略验证流程：

部署测试Pod：kubectl run test --image=alpine -- sleep 3600
测试元数据访问：kubectl exec test -- curl http://192.168.100.21
给Pod添加标签：kubectl label pod test role=metadata-accessor
再次验证访问

5. 审计日志黄金配置

Kubernetes审计日志是安全调查的重要依据。以下是生产环境推荐配置：

审计策略示例：

apiVersion: audit.k8s.io/v1 kind: Policy rules: - level: Metadata resources: - group: "" resources: ["secrets"] - level: RequestResponse userGroups: ["system:nodes"] - level: None

关键审计参数：

# kube-apiserver.yaml部分配置 spec: containers: - command: - kube-apiserver - --audit-policy-file=/etc/kubernetes/audit/policy.yaml - --audit-log-path=/var/log/kubernetes/audit.log - --audit-log-maxsize=500 # MB - --audit-log-maxbackup=3 - --audit-log-compress=true

日志分析技巧：

# 查找特定用户的Secret访问 cat audit.log | jq 'select(.user.username=="system:serviceaccount:security:p.auster") | select(.objectRef.resource=="secrets")' # 统计高频操作 cat audit.log | jq -r '.verb' | sort | uniq -c | sort -nr