BettinaSM/kubernetes-security-lab

# 🔐 Kubernetes 安全实验室 一个演示 Kubernetes 安全最佳实践、常见配置错误和真实攻击场景的实战项目。 ## 概述 本项目模拟真实的 Kubernetes 安全风险，并演示如何使用以下方法保护工作负载： * Pod Security Contexts * RBAC (Role-Based Access Control) * Network Policies * 安全配置模式 ## 目标 * 识别不安全的 Kubernetes 配置 * 应用安全最佳实践 * 模拟真实攻击场景 * 演示容器和集群加固 ## 技术 * Kubernetes (YAML manifests) * RBAC * Network Policies ## 真实安全模拟 本项目模拟生产环境中常见的真实 Kubernetes 安全风险，包括： - 特权容器 - RBAC 配置错误 - 开放式网络通信 - 容器逃逸场景 旨在反映企业级 Kubernetes 安全挑战。 ## 项目结构 ``` . ├── manifests/ │ ├── insecure-pod.yaml │ ├── secure-pod.yaml ├── rbac/ │ ├── insecure-role.yaml │ ├── secure-role.yaml ├── network/ │ ├── insecure-networkpolicy.yaml │ ├── secure-networkpolicy.yaml ├── scenarios/ │ ├── container-breakout.md └── README.md ``` ## 演示的关键安全风险 ### 特权容器 以提升的权限运行的容器可以： * 访问主机资源 * 逃逸容器隔离 * 入侵节点 ### 过于宽松的 RBAC ``` verbs: ["*"] resources: ["*"] ``` 授予对集群的完全控制权。 ### 开放的网络策略 允许 Pod 之间不受限制的通信，增加了横向移动风险。 ## 安全最佳实践 * 以非 root 用户运行容器 * 禁用权限提升 * 应用最小权限 RBAC * 限制网络流量 * 使用只读文件系统 ## 攻击场景：容器逃逸 本项目包含一个真实场景，其中： * 一个特权容器被入侵 * 攻击者逃逸到主机 * 获得对节点的完全控制 ## 加固技术 * Pod Security Standards (baseline/restricted) * RBAC 最小化 * 网络分段 * 安全默认设置 ## 未来改进 * 集成安全工具 (Falco, Kyverno, OPA) * 运行时威胁检测 * Kubernetes 审计日志 * CI/CD 安全扫描 ## 主题 kubernetes, security, devsecops, rbac, containers, cloud-security, k8s, network-policy ## 作者 Bettina Santana de Meirelles Unix/Linux 基础设施 | DevOps | 安全 | 云 🔗 https://github.com/BettinaSM ## 关键要点 ✔ Kubernetes 安全实践 ✔ 真实配置错误场景 ✔ 攻击模拟思维 ✔ 安全工作负载设计 ## 总结 本项目演示了不安全的 Kubernetes 配置如何导致关键安全风险，以及应用安全最佳实践如何显著提高集群保护能力。

标签：ATT&CK 容器矩阵, CISA项目, DevSecOps, K8s 渗透测试, Kubernetes 安全, Pod 安全, RBAC 配置错误, Web截图, 上游代理, 子域名突变, 安全实验环境, 安全最佳实践, 容器安全, 容器逃逸, 微服务安全, 数据处理, 模型鲁棒性, 漏洞模拟, 网络策略, 集群加固