security

Kubernetes 中的用户和工作负载身份

原文:User and workload identities in Kubernetes 作者:Arthur Chiao 本文中我们会试着解释,在 Kubernetes API Server 上如何对用户和工作负载进行认证的问题。 Kubernetes API Server 开放了 HTTP API 接口,让最终

在 Kubernetes 环境中检查镜像签名的一种方法

Kubernetes 的供应链安全需求中,有一个重要的镜像签署和校验的环节,这个环节可以使用 OPA 结合 Notary 的方式来完成。最近 Linux基金会宣布免费 sigstore 签名服务,以确认

用 Notary 和 OPA 在 Kubernetes 上使用内容签名

在 Kubernetes 上使用策略对部署行为进行限制,仅允许运行有签名的镜像。

Kubernetes 的授权和审计

更安全地运维 Kubernetes。

简介:CIS Kubernetes 安全基准指南

在使用 Kube Bench 的过程中注意到,其指导依据来自于 CIS Benchmark,于是顺藤摸瓜,下载了 CIS Kubernetews Be nchmark 的 PDF 版本,全文有两百多页,阅读量还蛮大的,因此对

使用 Harbor 提供可信镜像

应用上云的过程中,过了部署关和应用改造关之后,安全就是下一个大问题了。对于容器化应用来说,镜像的安全是个非常根本的问题,例如 Harbor 中集成了 Clair 组件

介绍一个小工具:Kubeseal

挺莫名其妙的一个东西。

多数 Dockerfile 示例可能都不够严谨

随手搜出的 Dockerfile 例子可能并不适合在生产环境中使用。

全面易用的镜像漏洞检测工具:Trivy

道路千万条,安全第一条; 镜像不规范,同事两行泪。 Trivy 是一个面向镜像的漏洞检测工具,具备如下特点: 开源 免费 易用 准确度高 CI 友好 相对于老前辈 Clai

Istio 安全设置笔记

Istio 为网格中的微服务提供了较为完善的安全加固功能,在不影响代码的前提下,可以从多个角度提供安全支撑,官方文档做了较为详细的介绍,但是也比较破碎