• 代码来自不受信任的镜像仓库。不受信任的代码包括可能会在无意中向不法分子授予访问权限的恶意软件或后门。
• 庞大的基础镜像。对于容器化应用而言，越简洁越好，因此开发人员应消除可能会受到入侵的不必要的软件包、库和 shell。
  

• 授予不必要的权限。在可能的情况下，将权限保持在最低限度，并仅挂载任务所需的密码，以缩小受攻击面。
• 无法隔离集群中的应用。应使用 Namespace 将资源和团队彼此隔离开。
• 攻击在集群内横向移动。使用网络分段策略防止攻击在集群内横向移动。
• 未经授权的访问。确保正确配置基于角色的访问控制 (RBAC) 以限制访问。
  

• 基础架构攻击。在运行时，Kubernetes 基础架构元素（包括 API 服务器、etcd 和控制器）都会呈现出自己的受攻击面。
• 复杂性。Kubernetes 集群的持续运行状况包含许多可变要素。在定位和修复攻击来源的同时，必须快速隔离、停止受到入侵的容器，并将其替换为正常运行的容器。
  

最佳实践建议包括：从最小的、无发行版的镜像着手，并只添加绝对必要的镜像。越小越安全。

• 使用最小的主机操作系统，结束只读挂载，并使用 SELinux 选项实现更多控制
• 从上向下扫描镜像（包括任何类型的操作系统镜像和外部镜像）中是否存在漏洞。不存在外部可信来源。
• 使用 Namespace 和 RBAC 以逻辑方式对集群和用户进行分段。如果不需要，则不应显示。
• Kubernetes 网络的默认设置允许任意通信，因此，应在生产之前执行网络分段。认真定义 Ingress 和 Egress 策略，以确保正确路由连接。
• 将权限保持在最低限度，切勿以 root 身份运行应用进程。使用只读根文件系统可防止任何攻击，具体的攻击方式取决于是安装软件，还是修改文件系统。
• 将安全机制（如镜像扫描）集成到 CI/CD 流水线中。更好的措施是运行 CIS 基准安全测试。
• 保护集群本身。配置 RBAC 以限制对 API 服务器的访问，并确保使用 TLS 加密保护所有 etcd 通信。同样，通过为 kubelet 配置 RBAC 来锁定 kubelet 权限。
• 充分利用 Kubernetes 中的内置控制功能，例如配置安全上下文以限制对 Pod 的访问。
• 主动安全机制应包括监控进程活动、服务之间的通信以及集群外部的通信。