xn0kkx/k8s-security-hardening

# k8s-security-hardening 符合 CIS Kubernetes Benchmark 和 NSA/CISA Kubernetes 加固指南的针对性 Kubernetes 加固基线。 ## 计划中的清单 - **`pod-security-standards/`** — 受限 PodSecurity 准入控制及命名空间标签和例外模式。 - **`network-policies/`** — 默认拒绝 ingress + 按命名空间选择性允许，包括 DNS egress 控制。 - **`opa-gatekeeper/`** — 约束模板：要求标签、阻止 `latest` 标签、阻止 `hostPath` 挂载、强制执行资源限制。 - **`falco-rules/`** — 自定义规则：向 `/etc` 写入、容器内 Shell 执行检测、可疑挂载、权限提升。 - **`image-signing/`** — 通过 Kyverno 或 Sigstore Policy Controller 进行 Cosign 验证策略。 - **`examples/secure-deployment.yaml`** — 包含 `securityContext`、`readOnlyRootFilesystem`、`runAsNonRoot` 以及弃用权能 的完整示例。 ## 文档 - 每一层的威胁模型（工作负载、网络、供应链、运行时）。 - CIS Kubernetes Benchmark 控制映射。 - NSA Kubernetes 加固指南交叉参考。 - 针对 vanilla Kubernetes 和托管服务（EKS/GKE/AKS）的示例。 ## 作者 [Lucas Turossi · @xn0kkx](https://github.com/xn0kkx) · 安全工程师 / DevSecOps · 巴西 · 开放远程工作。 ## 许可证 Apache-2.0（计划中）

标签：AKS, Anthropic, Chrome Headless, CISA项目, CIS基准, Cosign镜像验证, DevSecOps, EKS, Falco, GKE, K8s基线加固, Kubernetes安全, NSA/CISA合规, OPA Gatekeeper, Pod安全标准, PyVis, Web截图, Web报告查看器, 上游代理, 子域名突变, 安全上下文, 容器安全, 异常检测, 敏感词过滤, 数据处理, 权限控制, 策略即代码, 网络策略, 聊天机器人安全, 零信任网络