8.1 安全策略SOP
一、RBAC 权限管理
- 角色划分(admin、dev、ops、readonly)
- 最小权限原则
- 示例 YAML:
```yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: dev
name: dev-reader
rules:
- apiGroups: [””]
resources: [“pods”]
verbs: [“get”, “list”]
```
- 操作流程:
- 需求评审 → 角色设计 → 权限最小化配置
- 审批后应用到集群
- 定期复查与回收冗余权限
二、Secret 加密与管理
- 启用 Kubernetes Secret 加密(KMS/密钥轮换)
- 密钥分级、定期轮换
- 推荐工具:Sealed Secrets、HashiCorp Vault
- 操作流程:
- 生成密钥 → 加密存储 → 权限分级
- 定期轮换密钥,更新 Secret
- 审计密钥使用与访问日志
三、API 审计
- 开启 Kubernetes API 审计日志
- 日志采集与告警(ELK/Prometheus)
- 审计策略示例
- 操作流程:
- 配置 API 审计策略
- 日志采集到安全平台
- 关键操作自动告警
四、注意事项
- 严格权限分级,避免超权
- 密钥、证书等敏感信息不得明文存储
- 审计日志定期归档与分析
五、参考资料
- 《Kubernetes 安全最佳实践》
- 《云原生安全白皮书》
- 团队内部安全管理制度