🔒 容器安全系列

全面的 8 部分系列，涵盖从镜像到 runtime、从构建到事件响应的容器安全——包括 AI 时代的威胁。

目录 • 快速开始 • 推荐技术栈 • 统计数据 • 贡献

## 📚 目录 | # | 部分 | 主题 | 阅读时间 | |---|------|--------|-----------| | 1 | [简介与概述](./docs/part1-introduction-overview.md) | 攻击面、生命周期框架、威胁态势、动手实验 | 15 分钟 | | 2 | [镜像安全与供应链](./docs/part2-image-security-supply-chain.md) | 镜像扫描、SBOM、Sigstore/Cosign、SLSA、Dockerfile 加固 | 25 分钟 | | 3 | [Runtime 安全与监控](./docs/part3-runtime-security-monitoring.md) | eBPF、Falco、Tetragon、Seccomp、AppArmor、AI agent 检测 | 30 分钟 | | 4 | [Kubernetes 安全加固](./docs/part4-kubernetes-security-hardening.md) | RBAC、PSS、Network Policies、Secrets、Admission Control、Terraform | 30 分钟 | | 5 | [网络安全与零信任](./docs/part5-network-security-zero-trust.md) | mTLS、Service Mesh (Istio/Cilium)、SPIFFE、微隔离 | 25 分钟 | | 6 | [安全工具与平台](./docs/part6-security-tools-platforms.md) | Trivy、Falco、Wiz、Sysdig、Aqua、Snyk — 对比与成本分析 | 20 分钟 | | 7 | [最佳实践与检查清单](./docs/part7-best-practices-checklist.md) | 75 项检查清单、成熟度模型、路线图、自动化脚本 | 20 分钟 | | 8 | [AI 时代的 K8s 安全](./docs/part8-kubernetes-security-ai-era.md) | AI agent 攻击、LLM 威胁、沙箱、因果链检测 | 25 分钟 | | 9 | [平台工程参考架构](./docs/part9-platform-engineering-reference-architecture.md) | Terraform + ArgoCD + CI/CD + 安全技术栈（端到端） | 30 分钟 | | 10 | [多租户与开发者体验](./docs/part10-multitenancy-developer-experience.md) | 租户隔离、Day-2 运维、安全 SLO、黄金镜像 | 25 分钟 | ## 🎯 快速开始 **容器安全新手？** 按顺序阅读（第 1 部分 → 第 8 部分）。 **需要了解特定内容？** | 问题 | 前往 | |----------|-------| | “我应该使用什么工具？” | [第 6 部分 — 工具与平台](./docs/part6-security-tools-platforms.md) | | “给我一份检查清单” | [第 7 部分 — 75 项检查清单](./docs/part7-best-practices-checklist.md) | | “如何加固 Kubernetes？” | [第 4 部分 — K8s 加固](./docs/part4-kubernetes-security-hardening.md) | | “如何检测 runtime 攻击？” | [第 3 部分 — Runtime 安全](./docs/part3-runtime-security-monitoring.md) | | “如何保护 CI/CD 流水线？” | [第 2 部分 — 供应链](./docs/part2-image-security-supply-chain.md) | | “AI/LLM 工作负载怎么办？” | [第 8 部分 — AI 时代](./docs/part8-kubernetes-security-ai-era.md) | | “我是一名平台工程师——从哪里开始？” | [第 9 部分 — 参考架构](./docs/part9-platform-engineering-reference-architecture.md) | | “多租户和 Day-2 运维？” | [第 10 部分 — 多租户与 DX](./docs/part10-multitenancy-developer-experience.md) | | “给我可部署的代码” | [examples/](./examples/) — Terraform、Kyverno、Falco、脚本 | | “如何成为一名平台工程师？” | [职业指南](./docs/platform-engineer-career-guide.md) | ## 🛠️ 推荐技术栈 ### 开源（免费） ``` Build: Trivy + Syft + Grype + Cosign + Hadolint Deploy: Kyverno + Sigstore Policy Controller Runtime: Falco + Tetragon + Seccomp Network: Cilium (CNI + Service Mesh + Hubble) Monitor: Prometheus + Grafana + OpenSearch ``` ### 企业版 ``` CNAPP: Wiz (agentless) | Sysdig (runtime) | Aqua (container-native) DevSec: Snyk (developer-first) | Docker Scout Comply: Prisma Cloud (broadest coverage) ``` ## 📊 关键统计数据 (2026) | 指标 | 数值 | 来源 | |--------|-------|--------| | 在生产环境中使用容器的组织 | 56% | CNCF Survey 2025 | | 在生产环境中的 K8s 用户 | 82% | CNCF Survey 2025 | | 新 K8s 集群遭受首次攻击的时间 | 18 分钟 | Wiz Research | | 容器生命周期（70% 的容器） | < 5 分钟 | Sysdig | | 发布的恶意包 (2025) | 454,000+ | Sonatype | | 发生过 K8s 安全事件的组织 | 93% | CNCF Survey | | 涉及 agentic 系统的 AI 违规事件 | 八分之一 | HiddenLayer 2026 | | 容器横向移动攻击（同比增长） | +34% | Vectra AI | ## 🏗️ 仓库结构 ``` container-security-series/ ├── README.md ├── LICENSE ├── CONTRIBUTING.md ├── .gitignore ├── docs/ │ ├── part1-introduction-overview.md │ ├── part2-image-security-supply-chain.md │ ├── part3-runtime-security-monitoring.md │ ├── part4-kubernetes-security-hardening.md │ ├── part5-network-security-zero-trust.md │ ├── part6-security-tools-platforms.md │ ├── part7-best-practices-checklist.md │ ├── part8-kubernetes-security-ai-era.md │ ├── part9-platform-engineering-reference-architecture.md │ └── part10-multitenancy-developer-experience.md └── examples/ ├── terraform/main.tf # Hardened EKS (VPC + KMS + ECR + GuardDuty) ├── kyverno/policies.yaml # 10 production admission policies ├── falco/values.yaml # Production Helm values ├── falco/custom-rules.yaml # 10 custom detection rules └── scripts/ ├── bootstrap-security-stack.sh # Deploy full stack (run once) ├── security-audit.sh # Quick posture assessment └── onboard-tenant.sh # Create secured namespace ``` ## 📖 你将学到什么 - ✅ 容器安全在整个生命周期中是如何运作的 - ✅ 实用的 Dockerfile 加固（前后对比示例） - ✅ SBOM 生成、使用 Sigstore/Cosign 进行镜像签名 - ✅ 使用 Falco 和 eBPF 进行 runtime 威胁检测 - ✅ Kubernetes 加固（RBAC、PSS、NetworkPolicies、Secrets） - ✅ 使用 mTLS 和 service mesh 的零信任网络 - ✅ 包含成本分析的工具对比（开源 vs 商业） - ✅ 可直接运行的集群加固自动化脚本 - ✅ 用于加固 EKS 集群的 Terraform 模块 - ✅ **新增：** AI agent 威胁与 LLM 工作负载安全 (2026) ## 映射 Voi 平台工程路线图 本系列涵盖了 [平台工程路线图](https://mbianchidev.github.io/platform-engineering-roadmap/)（由 mbianchidev 编写）的**安全**部分。 | 路线图主题 | 系列涵盖内容 | 部分 | |--------------|-----------------|------| | 加密、证书、TLS、PKI | mTLS、Sigstore、证书管理 | 2, 5 | | 身份验证、授权、IAM | RBAC、Pod Identity、OIDC、Service Accounts | 4, 9 | | OPA (Open Policy Agent) | OPA Gatekeeper + Kyverno 详细对比 | 4, 6 | | DevSecOps (SAST、DAST、容器扫描) | Trivy、Grype、Hadolint、CI/CD pipeline | 2, 6, 9 | | 威胁检测 | Falco、Tetragon、GuardDuty、eBPF | 3, 8 | | CNAPP、CDR | Wiz、Sysdig、Aqua、Prisma Cloud | 6 | | 容器 (Docker、OCI、Registry) | 镜像加固、扫描、签名、SBOM | 2 | | Kubernetes（完整主题列表） | 加固、PSS、NetworkPolicy、Secrets | 3, 4, 5 | | Service Mesh (Istio、Linkerd) | mTLS、AuthorizationPolicy、Cilium mesh | 5 | | CNI (Cilium) | Cilium vs Calico、L7 policies、Hubble | 5 | | GitOps (ArgoCD、FluxCD) | ArgoCD 安全配置、漂移检测 | 9 | | IaC (Terraform) | 加固的 EKS 模块、KMS、GuardDuty | 9 | | Rollout (Canary、Blue-Green) | Argo Rollouts + Falco、自动回滚 | 9 | | 可观测性 (Prometheus、Grafana) | 安全仪表盘、SLO、告警 | 9 | | 平台工程 (IDP、DevEx) | 自助服务、黄金镜像、入职引导 | 10 | | 多租户 | 硬隔离与软隔离、namespace 隔离、配额 | 10 | | AI 工作负载安全 | AI agent 攻击、LLM 威胁、沙箱 | 8 | ## 👤 作者 **Van Hoang Kha** - GitHub: [@vanhoangkha](https://github.com/vanhoangkha) ## 📄 许可证 本项目基于 [MIT 许可证](./LICENSE)授权。 ## 🙏 来源与致谢 基于 40 多个行业来源的研究，包括： Sysdig • Wiz • Docker • AquilaX • CNCF • Microsoft • Aqua Security • Falco Project • ARMO • Sigstore • AppSecSanta • TasrieIT • BeyondScale • HiddenLayer • Sonatype • GitGuardian • 以及更多。

⭐ 如果觉得有用，请给本仓库点个 Star！

“安全左移，但也绝不要忽略右侧。” — 容器安全系列

标签：DevSecOps, Docker镜像, GitHub Advanced Security, Web截图, 上游代理, 子域名突变, 安全加固, 容器安全, 自定义请求头, 请求拦截