https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11246
CVE-2019–11253（7.5 高） ：使授权用户可以发送恶意 YAML 或 JSON 载荷 ， 导致 API 服务器占用过多的 CPU 或内存 ， 可能会导致崩溃或服务不可用 。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11253
概述
Kubernetes 是一个功能强大的 PaaS 工具包 ， 具有许多安全相关的选项 ， 可以支持各种部署场景 。 当它成为大家普遍认可的 PaaS 选项时 ， 从安全的角度来看 ， 这是非常有价值的 ， 因为这些安全选项中的大多数都可以抽象出来 ， 并且必须配备辅助系统以支持其使用 。

本文插图

控制平面（AWS 账号 / GCP 项目）
Kubernetes 集群的操作是在提供给它们的服务和网络中进行的 ， 自然地 ， 就会与 AWS/GCP 控制平面进行一些交互 ， 比如配置 Ingress 负载均衡器、访问存储在 KMS 中的秘密等 。 随着时间的推移 ， 团队会发展壮大 ， 拥有独立的帐户、项目并进一步的隔离 。 一个单独的 AWS 帐户或 GCP 项目是实现完全 IAM 分割（segmentation）的主要原语 。
另一方面 ， Kubernetes 集群需要在一个 AWS 帐户内操作（即使与其他地方的集群联合） 。 这限制了分割选项和灵活性 。 我们可以为每个团队或服务提供一个集群 ， 但我们就无法利用 Kubernetes 的许多好处了 ， 并且会带来新的管理问题 ， 比如对所有这些集群进行元编排 。
集群 & 节点 &Pod& 容器
集群
集群主（API）服务器是一个次控制平面（AWS 控制平面之外） ， 我们也需要做好安全防护 。 服务帐户和访问范围（容器可以假定要访问集群内外的资源）与 AWS 的 IAM 一样复杂 ， 并且需要严格地相互映射 ， 以便中时断不会影响 AWS 控制平面 。
节点
底层节点的操作系统必须像我们现在所做的那样进行维护 。 事实上 ， 我们的操作系统与谷歌用于 GKE 的基本操作系统非常相似 。 虽然将我们的操作系统转到 Kubernetes 不必做任何修改 ， 但我们也不会得到任何东西 。
Pod
在集群中创建 Pod ， 以及定义它们创建时必须满足哪些标准的规则 ， 都是通过 PodSecurityPolicy 完成的 ， 它的运作方式类似于 Salus 和我们现在使用的一致性管理工具 。 要实现干净利落的集成 ， 我们将需要做大量的集成工作 ， 并投资于附加的开源依赖项 。
https://github.com/coinbase/salus
Pod 通过网络策略相互隔离 ， 就像我们现在使用安全组和 / 或内部服务框架所做的那样 。 但在 Kubernetes 领域 ， Pod 相互通信所需的标识、身份验证和授权涉及大量的支持技术 ， 如用于节点级以下标识格式和认证的 SPIFFE&SPIRE ， 用于授权控制的 Envoy ， Istio authN 和 Z 编排 ， OPA 授权策略 。 对于其中的每一项技术 ， 要将其标准化并应用到生产中都需要付出很大的努力 。
容器
容器不是安全边界 ， 而是资源边界 。 为了定义容器的安全边界 ， 需要深入研究自定义内核命名空间、系统调用过滤、强制访问控制框架和 / 或为容器设计的基于 VM 的隔离技术 ， 如 gVisor 。
https://github.com/google/gvisor
目前 ， 我们在这个领域的投入还不太多 ， 因为我们还没有采用多租户的方式 。 如果我们转向多租户模型 ， 我们将不得不立即进行大量的投资 ， 通过主机 /VM 隔离技术保证类似分类的 Pod/ 容器在相同的节点上运行 ， 不会相互干扰 。
8
我们何时会运行 Kubernetes？它在我们未来计划中吗？
当更高级的容器编配平台有重要的用例时 ， 我们可能会首先查看问题声明 。 如果该平台很容易添加到我们现有的平台上：我们可能会首先访问它 ， 然后从那里开始探索 / 了解 。 如果我们认为扩展 / 添加到我们的平台上不合理 ， 那么我们将访问所有可能的选项——而不仅仅是 Kubernetes 。 更可能的情况是 ， 我们会先了解 AWS 的托管服务 ， 如 Fargate 和 ECS ， 然后再了解 Kubernetes 。

推荐阅读

• 

  燕窝一次吃多少合适(燕窝不宜与什么一起吃)
• 

  赵守珍|已发觉不对劲，但却无能为力，翼装飞行女孩生前最后一跳
• 

  武汉微新闻|同频共振，唱响文明协奏曲：区交通运输局下沉社区“双报到”，共建共创文明城市
• 

  ZAKER娱乐|扬言要教选手玩阿卡丽，却被inb一波操作打服，韩服王者挑衅Doinb
• 

  考试|高职扩招考试的内容是什么，是否很难？
• 

  点点看运势|正财偏财都很旺，贵人相助不缺钱花，从明天开始财运爆棚的星座
• 

  中国|竟全被西方成功窃取，如今鲜为人知！，中国三项国宝级技术
• 

  穿搭|夏天怎么能少了背心？想要休闲随性又舒适，清凉造型就靠它
• 

  阿里|犀牛财经早报：康希诺遭弃购3978股 阿里影业将于新交所除牌
• 

  法院传唤大S和汪小菲出庭，评论区两极分化，被骂为卖货毫无底线
• 

  中国新闻网|拼多多与特斯拉大战落幕！特斯拉认输！
• 

  科技福@无甚大用？旗舰机上的这项配置，用过真的回不去，感知不强
• 

  |库里妹妹晒与老公亲密合照：离开湾区不知咋办
• 

  干烧芋艿鸭
• 

  不习惯云笔记和活页手帐的人怎样进行知识的收集和积累
• 

  冬天养君子兰、虎皮兰、沙漠玫瑰，别手贱，少浇水才能多受益
• 

  行摄岁月|深情地牵手，简单地相爱
• 

  5G▲最近看到很多人选择vivo手机，但是也不能盲目哦。这4款值得买
• 

  毒汤给她发个消息，试探的一清二楚，女人爱不爱你
• 

  天然饮食和丰胸秘籍

• 情感|华为今天如此成功，看一下任正非的岳父是谁，你就知道为什么
• 华为手机|泪奔！等等党的心酸，为什么有些手机它偏不降价？
• 36氪|为什么说远程办公也许会毁了硅谷?
• 硅谷|为什么说远程办公也许会毁了硅谷?
• 科技造就未来|Apple为什么要使用ARM？为什么不从头开始？
• |为什么我店铺流量狂掉？淘宝竞争这么激烈还能不能做？
• 科学,探月|嫦娥五号年内升空 我们为什么要去月亮上“挖土”？
• 科学|嫦娥五号年内升空 我们为什么要去月亮上“挖土”？
• 混乱|我们处在一个重新认识和定义品牌价值的混乱时代
• 互联网|你的聊天内容可能正“被窃听”