Kubernetes安全和可观测性

　　目录
　　前言 1
　　第1 章 安全和可观测性战略 9
　　1.1 Kubernetes 安全：一个全新不同的世界 10
　　1.2 Kubernetes 部署工作负载的各个阶段的安全措施  11
　　1.2.1 构建安全：安全左移.13
　　1.2.2 部署安全 .15
　　1.2.3 运行时安全 16
　　1.2.4 可观测性 .22
　　1.2.5 安全框架 .24
　　1.3 安全和可观测性 26
　　1.4 总结 .27
　　第2 章 基础设施安全 29
　　2.1 主机加固30
　　2.1.1 操作系统的选择 30
　　2.1.2 清除不必要的进程 .31
　　2.1.3 主机的防火墙 31
　　2.1.4 保持对最新最佳实践的研究 .32
　　2.2 集群加固32
　　2.2.1 Kubernetes 数据存储安全 32
　　2.2.2 Kubernetes API 服务器安全 33
　　2.2.3 对Kubernetes Secret 进行落盘加密 34
　　2.2.4 频繁更换证书 35
　　2.2.5 认证和RBAC 36
　　2.2.6 云服务商元数据API 的访问限制 36
　　2.2.7 开启审计 .37
　　2.2.8 alpha 或beta 功能的访问限制 40
　　2.2.9 经常升级Kubernetes .40
　　2.3 使用托管Kubernetes 服务 41
　　2.3.1 CIS 基准 41
　　2.3.2 网络安全 .42
　　2.4 总结 .44
　　第3 章 工作负载部署安全 .45
　　3.1 镜像构建和镜像扫描 45
　　3.1.1 基础镜像的选择 45
　　3.1.2 容器镜像加固 47
　　3.1.3 容器镜像扫描方案 .49
　　3.1.4 隐私关注 .50
　　3.1.5 容器威胁分析 50
　　3.2 CI/CD .50
　　3.2.1 通过镜像仓库扫描服务扫描镜像 52
　　3.2.2 构建后扫描镜像 53
　　3.2.3 内嵌镜像扫描 54
　　3.2.4 Kubernetes 准入控制器 55
　　3.2.5 CI/CD 流水线安全 .55
　　3.3 组织策略56
　　3.3.1 密钥管理 .57
　　3.3.2 使用etcd 存储密钥 57
　　3.3.3 密钥管理服务 58
　　3.3.4 Kubernetes 密钥存储的CSI 驱动程序 .58
　　3.3.5 密钥管理的最佳实践.59
　　3.4 认证 .60
　　3.4.1 X509 客户证书 .61
　　3.4.2 Bearer 令牌 61
　　3.4.3 OIDC 令牌 .62
　　3.4.4 认证代理程序 62
　　3.4.5 匿名请求 .62
　　3.4.6 用户冒名顶替 62
　　3.5 授权 .63
　　3.5.1 节点授权 .63
　　3.5.2 ABAC 63
　　3.5.3 AlwaysDeny/AlwaysAllow .63
　　3.5.4 RBAC 64
　　3.5.5 命名空间的RBAC .65
　　3.5.6 缓解权越级 66
　　3.6 总结 .66
　　第4 章 工作负载运行时安全 .67
　　4.1 PSP 68
　　4.1.1 如何使用PSP 68
　　4.1.2 使用PSP 定义Linux Capabilities 71
　　4.1.3 Pod Security Context .73
　　4.1.4 PSP 的局限性 74
　　4.1.5 容器进程监控 75
　　4.1.6 Kubernetes 原生监控 .76
　　4.1.7 Seccomp 78
　　4.1.8 SELinux 80
　　4.1.9 AppArmor 83
　　4.1.10 Sysctl 84
　　4.2 总结 .85
　　第5 章 可观测性 87
　　5.1 监控 .87
　　5.2 可观测性概述 .90
　　5.2.1 Kubernetes 可观测性 .91
　　5.2.2 Kubernetes 可观测性的实现 95
　　5.2.3 Linux 内核工具 98
　　5.3 可观测性组件 .99
　　5.4 聚合与关联 101
　　5.5 可视化 .104
　　5.5.1 服务视图 104
　　5.5.2 网络流量的可视化 105
　　5.6 分析和故障排除 .106
　　5.6.1 分布式追踪 .107
　　5.6.2 抓包 .107
　　5.7 总结 108
　　第6 章 可观测性和安全  109
　　6.1 告警 109
　　6.1.1 机器学习  112
　　6.1.2 一些机器学习作业的示例  113
　　6.2 安全运营中心  114
　　6.3 用户和实体行为分析（UEBA）  117
　　6.4 总结  119
　　第7 章 网络策略 . 121
　　7.1 什么是网络策略 .121
　　7.2 为什么网络策略很重要 122
　　7.3 网络策略的实现 .123
　　7.4 网络策略最佳实践 .125
　　7.4.1 入口与出口（Ingress 与Egress） 125
　　7.4.2 不要仅关注关键的工作负载 126
　　7.4.3 策略和标签模式 126
　　7.4.4 默认拒绝和默认应用策略 128
　　7.5 策略工具.130
　　7.5.1 开发流程和微服务（实施网络安全）的好处 130
　　7.5.2 策略建议 131
　　7.5.3 策略影响预览 .131
　　7.5.4 策略预发布和审计模式 .132
　　7.6 总结 133
　　第8 章 跨团队管理信任  135
　　8.1 基于角色的访问控制 136
　　8.1.1 Kubernetes 网络策略的局限性 136
　　8.1.2 更丰富的网络策略实现 .137
　　8.1.3 准入控制器 .142
　　8.2 总结 143
　　第9 章 暴露服务给外部客户  145
　　9.1 理解Pod 直连 146
　　9.2 理解Kubernetes service 147
　　9.2.1 Cluster IP 类型service 147
　　9.2.2 节点端口（Node Port）类型Service .148
　　9.2.3 Load Balancer 类型Service .149
　　9.2.4 externalTrafficPolicy:local 151
　　9.2.5 扩展网络策略 .152
　　9.2.6 Kube-proxy 的替代产品 153
　　9.2.7 服务直接返回（DSR） .154
　　9.2.8 限制Service 的externalIP 155
　　9.2.9 广播Service IP 157
　　9.2.10 理解Kubernetes Ingress .158
　　9.3 总结 162
　　第10 章 数据传输加密 . 163
　　10.1 代码中构建加密 164
　　10.2 Sidecar 或服务网格加密 166
　　10.3 网络层加密 .167
　　10.4 总结 169
　　第11 章 威胁防御和入侵检测  171
　　11.1 Kubernetes 的威胁防御（攻击的各个阶段） 171
　　11.2 入侵检测 175
　　11.2.1 入侵检测系统 175
　　11.2.2 IP 地址和域名的威胁源 .176
　　11.2.3 域名信息的殊考虑 179
　　11.3 先进的威胁防御技术 .184
　　11.3.1 金丝雀Pod 或资源 184
　　11.3.2 基于DNS 的攻击和防御 185
　　11.4 总结 186
　　后记 . 189

　　Alex Pollitt，微软Azure的全球云原生架构师，专注于开源云和Kubernetes。他深度参与了Kubernetes开源项目，为Kubernetes发布团队提供帮助并领导SIG-Azure工作组。

　　无论你已在开发云原生应用，还是正在向云原生架构迁移，本书都将引导你深入理解关键的安全和可观测性概念和最Z佳实践，充分释放云原生应用的潜力。本书包括如下内容：为什么云原生应用需要安全和可观测性战略，以及覆盖的范围。安全和可观测性方法背后的关键概念。安全和可观测性战略的技术选择。如何在多个团队或角色之间分担安全责任。如何为多云和混合环境构建Kubernetes安全和可观测性。