编辑“︁Kubernetes安全概述”︁（章节）

== 进阶安全措施 ==

=== Pod安全标准 ===
通过'''Pod Security Admission'''（PSA）定义三个级别：
* Privileged（无限制）
* Baseline（最小限制）
* Restricted（严格限制）

示例：在命名空间启用Restricted策略
<syntaxhighlight lang="yaml">
apiVersion: v1
kind: Namespace
metadata:
  name: secure-app
  labels:
    pod-security.kubernetes.io/enforce: restricted
</syntaxhighlight>

=== 镜像安全 ===
* 使用签名镜像（Cosign）
* 扫描漏洞（Trivy、Clair）
* 禁止latest标签

数学表达镜像哈希验证：
<math>
\text{Verify}(digest, sig, pubKey) = \begin{cases} 
\text{true} & \text{if } sig \text{ valid for } digest \\
\text{false} & \text{otherwise}
\end{cases}
</math>