请参考https://article.itxueyuan.com/0K5kgE

这个问题三个答案太局限了，要看安全部门是否了解容器安全，传统网络安全通常不涉及这块，最好有个架构规划团队，包含应用架构、平台架构、安全架构、基础设施架构、数据架构等人员，来统一规划...

1 容器云安全可细分为：平台和基础设施安全、应用安全、运行安全三类。--- 平台和基础设施安全：加固宿主机节点的主机安全、容器引擎的技术安全、容器集群各组件的技术安全、容器平台的访问管控安全。 --- 应用安全：解决镜像仓库安全、应用系统的镜像安全问题--- 运行安全：解...

任何事物都有两面性，容器云集群也不例外；它虽然实现了运维自动化，极大的提高了研发运营的效率，但是容器云集群包含了很多层级和组件，它比其他基础平台更接近业务，这就带来了更多的风险点。容器云安全涉及到的范围很广，很复杂，是信息安全中的新兴领域，类似于网络安全的拓展。如果不...

一般情况下，外部访问内部的流量称为南北向流量， 内部服务之间的流量称为东西向流量。有些企业为了节省机器成本和运维压力，会选择将南北向流量和东西向流量共用一个Ingress Provider。这种部署方式无法针对外部流量或者内部流量做精细化的流量治理，也会扩大故障影响面。最佳...

1  安全等保不同级别，有不同的评估项的要求， K8S集群安全只是是等保内容的一部分。 建议应全面对K8S集群进行安全加固和审计。譬如在审计方面， Kube-Bench是Aqua发布的一款开源的K8s安全审计工具。2 国内公有云厂商，提供了一些安全等保的服务。譬如腾讯容器安全服务（Tenc...

1、监管是以业务连续性保障为抓手，没有细到容器云的安全要求。容器云的安全建设可以参考等保2.0的要求，评估容器云的安全要求进行实施和加固。2、补丁更新、版本升级：这和银行对容器云的产品需求、安全CVE漏洞等别、运维管理办法和厂商产品的版本发布相关，需要综合评估。...

先说一下我们的容器云安全体系的建立过程：首先，在CI/CD过程中Source-to-image过程中，要对代码进行漏洞扫描，并对生成的镜像进行居于CVE扫描，只有安全扫描通过的镜像才允许上传镜像仓库，并生成镜像签名；也需要定期对镜像仓库扫描；其次，在CD过程中，基于K8s动态准入提供镜像扫描，并指定...

RunC从本质上来说，容器是提供一个与宿主机系统共享内核但与系统中的其他进程资源相隔离的执行环境。Docker通过调用libcontainer包对namespaces、cgroups、capabilities以及文件系统的管理和分配来“隔离”出一个上述执行环境。同样的，runC也是对libcontainer包进行调用，去...

容器安全的防护包括：1、软件安全。大量的开源组件和软件，如何保证所有的软件都是安全的；2、网络防火墙。容器的横向扩缩容和重启后的 IP 和宿主机漂移，网络防火墙是否有效；3、镜像漏洞。作为容器的核心组件、容器镜像存在的大量漏洞和威胁，如何进行扫描和修复；4、漏洞修复。Dock...