云原生系列三：K8s应用安全加固技术

今天叶秋学长带领大家学习云原生系列三：10大K8s应用安全加固技术~

本文译自 Top 10 Kubernetes Application Security Hardening Techniques[1]。作者：Rory McCune

将应用部署到K8s集群时，开发者面临的主要挑战是如何管理安全风险。快速解决此问题的一个好方法是在开发过程中对应用清单进行安全加固。本文，将介绍10种开发者可以对应用程序应用加固的方法。

以下技术允许在开发过程中测试强化版本，从而降低在生产环境中应用的控件对运行工作负载造成不利影响的风险。此外，没有强制性控制的集群中，比如Pod安全策略，自愿加固可以帮助降低容器突破攻击的风险。

一般方法

在编写K8s工作负载清单时，无论是pod对象还是部署daemonset之类的更高级别的东西，清单中都有一个名为securityContext的部分，允许您指定应该应用于工作负载的安全参数。

例如，下面的代码显示了一个更改其功能

下面将详细介绍这些不同部分的工作原理，但从这里你可以看到使用的一般结构。

runAsUser, runAsGroup

默认情况下，Docker容器以root用户的身份运行