Search for a command to run...
Articles tagged with #security
Kubernetes 提供了 Secret 对象用于承载少量的机密/敏感数据,在实际使用中,有几种常规或者非常规的方式能够获取到 Secret 的内容: Pod 加载(自己的或者不是自己的)Secret 为环境变量或者文件 使用 Kubernetes API(或者 kubectl)获取 Secret 对象内容 连接 ETCD 读取其中保存的 Secret 明文 在 CICD 工具中截获含有明文的 Secret 对象 YAML 在加载了 Secret 的容器中直接读取环境变量或者机密文件...
在本文中,我们将介绍 Trivy Operator,一款用于持续监控 Kubernetes 集群中的容器镜像漏洞的工具。我们将从 Trivy Operator 的简介开始,接着介绍如何安装和配置,最后探讨漏洞扫描与呈现,以及其他补充功能。 引言 当下,容器技术已成为企业构建和部署应用的关键组成部分。然而,容器镜像可能会携带软件漏洞,这些漏洞可能导致应用和数据面临安全风险。为了确保 Kubernetes 集群在运行时的持续安全,就需要自动对运行中的容器镜像进行扫描的工具。 很早以前曾经使用 Sh...
开始之前 SPIFFE 是一个认证框架,能为多种节点和工作负载类型提供证实能力,解决“我是我”的问题,前面文章演示过用 SPIRE 给类 Unix 进程提供身份的方法,今天这篇就试试给 Pod 提供身份。 这次实验会在前面的基础之上,在 Kubernetes 集群之外运行独立的 SPIRE Server,在集群中用 Pod 的形式运行 SPIRE Agent 作为节点,最后在其它 Pod 中访问 SPIRE Agent,获取 SVID。本文所涉及的对象关系如下图所示: 开始之前,需要做一些准备...
前言 大概很多人和我一样,是从 Istio 那里听说 SPIFFE(读音 Spiffy [ˈspɪfi]) 的,Istio 中用 SPIFFE 方式为微服务提供身份。SPIFFE 全称为 Secure Production Identity Framework For Every one,顾名思义,这是一个解决身份问题的框架;而 SPIRE 则是 SPIFFE 的一个实现,全称为 SPIFFE Runtime Environment。 一个“我是谁”的问题,真的需要大动干戈?甚至能养活两个项目:...
概述 Argon(现在是 Aqua Security 的一部分)曾经联系 CIS(Center for Internete Security),建议为软件供应链安全开发一种 CIS 基线。多年以来,CIS 开发并发布了很多安全配置指南,但是软件供应链安全方面还是一个空白。现代软件开发过程中会涉及大量的平台和技术,软件供应链安全的工作范围应该有多大?如何保证基线能够在多种平台中保持一致? 很明显,要直接定义特定的基线是不现实的,更实际的做法是定义一个通用的指南,然后以此为基础来进一步定义更精准的内...
原文:User and workload identities in Kubernetes 作者:Arthur Chiao 本文中我们会试着解释,在 Kubernetes API Server 上如何对用户和工作负载进行认证的问题。 Kubernetes API Server 开放了 HTTP API 接口,让最终用户、集群组件以及外部组件可以进行通信。 绝大多数操作都可以用 kubectl 来完成,而且也可以使用 REST 调用的方式直接访问 API。 但是如何只允许认证用户访问 API 呢?...
