遵循本文件中概述的加固指南是确保在 Kubernetes 协调容器上运行的应用程序安全的一个步骤。然而,安全是一个持续的过程,跟上补丁、更新和升级是至关重要的。具体的软件组件因个人配置的不同而不同,但整个系统的每一块都应尽可能保持安全。这包括更新:Kubernetes、管理程序、虚拟化软件、插件、环境运行的操作系统、服务器上运行的应用程序,以及 Kubernetes 环境中托管的任何其他软件。
互联网安全中心(CIS)发布了保护软件安全的基准。管理员应遵守 Kubernetes 和任何其他相关系统组件的 CIS 基准。管理员应定期检查,以确保其系统的安全性符合当前安全专家对最佳实践的共识。应定期对各种系统组件进行漏洞扫描和渗透测试,主动寻找不安全的配置和零日漏洞。任何发现都应在潜在的网络行为者发现和利用它们之前及时补救。
随着更新的部署,管理员也应该跟上从环境中删除任何不再需要的旧组件。使用托管的 Kubernetes 服务可以帮助自动升级和修补 Kubernetes、操作系统和网络协议。然而,管理员仍然必须为他们的容器化应用程序打补丁和升级。