编辑“︁Kubernetes合规性”︁

= Kubernetes合规性 =

'''Kubernetes合规性'''是指Kubernetes集群及其相关组件符合特定行业标准、法规或组织内部安全策略的要求。合规性确保集群在安全性、审计、数据保护和访问控制等方面满足监管机构（如GDPR、HIPAA、PCI-DSS）或企业安全框架（如CIS Benchmark、NIST）的规定。

== 介绍 ==

Kubernetes是一个复杂的分布式系统，其动态性和灵活性使得合规性管理成为一项挑战。合规性涉及多个层面，包括：
* '''节点安全'''：主机操作系统和容器运行时的配置。
* '''集群配置'''：控制平面组件（如API Server、etcd）的安全设置。
* '''工作负载安全'''：Pod、Deployment等资源的权限限制。
* '''网络策略'''：流量控制与隔离。
* '''审计与监控'''：记录操作日志并检测异常行为。

== 关键合规性标准 ==

以下是Kubernetes环境中常见的合规性标准：

{| class="wikitable"
|-
! 标准名称 !! 适用范围 !! 关键要求
|-
| CIS Kubernetes Benchmark || 集群配置 || 强化API Server、禁用匿名访问、启用RBAC
|-
| GDPR || 数据保护 || 加密敏感数据、记录数据处理活动
|-
| HIPAA || 医疗数据 || 限制医疗数据的访问、审计日志保留
|-
| PCI-DSS || 支付系统 || 网络隔离、定期漏洞扫描
|}

== 实现合规性的技术措施 ==

=== 1. 基于角色的访问控制（RBAC） ===
RBAC是限制用户和服务账户权限的核心机制。以下是一个拒绝默认服务账户访问的示例：

<syntaxhighlight lang="yaml">
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: deny-default-service-account
subjects:
- kind: ServiceAccount
  name: default
  namespace: kube-system
roleRef:
  kind: ClusterRole
  name: view
  apiGroup: rbac.authorization.k8s.io
</syntaxhighlight>

'''解释'''：此配置将`kube-system`命名空间中的默认服务账户绑定到只读角色`view`，限制其权限。

=== 2. Pod安全策略（PSP）或Pod安全准入（PSA） ===
PSP（Kubernetes 1.21前）或PSA（1.23+）用于限制Pod的权限：

<syntaxhighlight lang="yaml">
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted
spec:
  privileged: false
  runAsUser:
    rule: MustRunAsNonRoot
  seLinux:
    rule: RunAsAny
  volumes:
  - 'configMap'
  - 'emptyDir'
</syntaxhighlight>

'''输出效果'''：阻止容器以root身份运行，并限制可挂载的卷类型。

=== 3. 网络策略 ===
使用NetworkPolicy实现网络隔离：

<syntaxhighlight lang="yaml">
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: db-isolation
spec:
  podSelector:
    matchLabels:
      role: database
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: frontend
</syntaxhighlight>

'''解释'''：仅允许带有`role: frontend`标签的Pod访问数据库Pod。

=== 4. 审计日志 ===
启用API Server审计日志记录关键操作：

<syntaxhighlight lang="yaml">
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata
  resources:
  - group: ""
    resources: ["secrets"]
</syntaxhighlight>

== 实际案例 ==

=== 案例1：金融系统合规 ===
某银行需满足PCI-DSS要求：
* 使用`kube-bench`工具检查CIS合规性：
<syntaxhighlight lang="bash">
docker run --rm -v /etc:/etc:ro -v /var/lib:/var/lib:ro aquasec/kube-bench:latest
</syntaxhighlight>
* 输出显示未通过的检查项（如`--anonymous-auth=false`未设置）。

=== 案例2：医疗数据保护 ===
医院集群需符合HIPAA：
* 加密etcd存储：
<syntaxhighlight lang="bash">
kms-provider:
  name: aws-encryption-provider
  endpoint: unix:///var/run/kms-plugin/socket.sock
</syntaxhighlight>
* 部署工具链：Falco（实时威胁检测）+ OPA（策略引擎）。

== 合规性工具 ==

常用工具对比：

<mermaid>
pie
    title 合规性工具使用率
    "kube-bench" : 45
    "OPA/Gatekeeper" : 30
    "Falco" : 15
    "其他" : 10
</mermaid>

== 数学建模 ==

风险评分公式（示例）：
<math>
R = \sum_{i=1}^{n} (w_i \times v_i)
</math>
其中：
* <math>w_i</math> = 第i项检查的权重
* <math>v_i</math> = 违规严重性（0-1）

== 总结 ==

Kubernetes合规性需要结合：
* '''自动化工具'''（如kube-bench）
* '''策略即代码'''（如OPA）
* '''持续监控'''（如Prometheus+Alertmanager）
* '''定期人工审计'''

通过多层防护，才能构建符合法规要求的可信集群。

[[Category:集成部署]]
[[Category:Kubernetes]]
[[Category:Kubernetes安全]]