在Kubernetes中應用零信任的兩種快速配置方法 | inext
對於組織而言,將銷售資料儲存在SaaS CRM中,將客戶資料儲存在公共雲中(使用Kubernetes之類)以及將內部資料儲存在本地資料中心(裸機)中並不少見。不僅如此,訪問該資料的員工和客戶遍佈全球。
開箱即用,Kubernetes帶有一些很棒的但不安全的預設值。所有Pod都可以與其他Pod對話,並且所有Pod都可以與Internet對話。對於開始來說很棒,但是最終您將需要鎖定一切。
我們將從真正的零信任開始-一種預設的“拒絕所有”策略,該策略不允許任何內容進行對話。
// Default Deny All Network Policy apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny-all spec: podSelector: {} policyTypes: - Ingress - Egress |
該策略對我而言確實鞏固了零信任的概念,此處的策略是預設情況下拒絕所有內容,然後慢慢新增更多的寬鬆策略以覆蓋原始default-deny-all策略。
在InfoSec社群中,我們將此稱為“最小特權原則”。像許多新的安全趨勢一樣,零信任依賴於這一久經考驗的原則。這是我們將覆蓋default-deny-all政策的方式:
// Allow Access from App A to App B apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: access-my-app spec: podSelector: [b]matchLabels: app: app-1[/b] ingress: - from: - podSelector: [b]matchLabels: app: app-2[/b] egress: - to: - podSelector: [b]matchLabels: app: app-2[/b] |
乍一看可能有點令人困惑,但是像其他Kubernetes一樣,matchLabels也是我們希望連線的點。從入口和出口的角度來看,此政策實質上是將帶有一個labels的Pod連線到下一個labels(我已用粗體顯示)。在這種情況下,帶有標籤的Pod app: app-1只能接收流量(入口),並向帶有標籤的Pod傳送流量(出口)app: app-2。
更直觀地講- 入口部分允許app-1←app-2
出口部分允許APP-1→APP-2
總共這給了我們app-1←→app-2
網路策略是將您的Kubernetes群集開箱即用的理想工具-當它們成為強大的持續整合/持續部署管道的一部分時,它非常強大(DevSecOps的夢想!)
相關文章
- Kubernetes零信任架構架構
- 兩種快速打造App的方法APP
- 在儲存過程中建立表的兩種方法儲存過程
- 詳解Parcel:快速,零配置web應用打包工具Web
- 完全解除安裝MacOS應用程式的兩種方法Mac
- GlusterFS在Kubernetes中的應用實戰(一)
- Kubernetes 中的應用引數配置案例詳析
- redhat 6 配置 yum 源的兩種方法Redhat
- 分享兩種完全解除安裝MacOS應用程式的方法Mac
- 快速應用部署的方法
- Kubernetes 下零信任安全架構分析架構
- 在Struts中應用Validator進行兩個欄位的比較的方法。
- 兩種方式配置vue全域性方法Vue
- 人工智慧在新零售中的應用人工智慧
- mac安裝mysql的兩種方法(含配置)MacMySql
- 快速解壓 Mac上zip 檔案的兩種方法Mac
- 騰訊首次對外公佈零信任技術演進路線圖,助力零信任技術落地及應用
- 在網頁中實現細線邊框的兩種方法(轉)網頁
- iptables在網路中的兩個經典應用(轉)
- 樂觀鎖和悲觀鎖在kubernetes中的應用
- 開發者談音效在遊戲中的8種基本應用遊戲
- 在Linux系統中儲存裝置的兩種表示方法(轉)Linux
- 兩種在 Rational Team Concert 中融合不同步程式碼的方法
- 【ASP.NET Core】配置應用程式地址的N多種方法ASP.NET
- 圖分析方法在業務風控中的應用
- python中合併表格的兩種方法Python
- 零信任的原則就是“在經過驗證之前不要信任任何人。”
- 零信任安全架構應如何落地?架構
- Helm, 在Kubernetes中部署應用的利器
- kubernetes在騰訊遊戲的應用實踐遊戲
- 機器學習將在遊戲開發中的6種應用機器學習遊戲開發
- 操作教程|在 MeterSphere 中透過 SSH 登入伺服器的兩種方法伺服器
- 行業案例| MongoDB在騰訊零售優碼中的應用行業MongoDB
- SAP CAP Fiori Elements 應用配置 UI 的兩種方式以及自定義 index.htmlUIIndexHTML
- Spark SQL中列轉行(UNPIVOT)的兩種方法SparkSQL
- Struts2中使用Session的兩種方法Session
- flannel網路在kubernetes中的運用
- Python中的__init__()方法整理中(兩種解釋)Python