云原生安全
云原生安全聚合容器、Kubernetes、镜像供应链、运行时防护、网络隔离、身份权限、审计日志和合规基线等内容,适合作为安全负责人、平台团队和运维团队查找安全体系建设资料的入口。
显示更多
这个页面不只整理单个安全工具,而是把镜像入口、集群权限、运行时风险、准入控制、审计追踪、网络边界和合规要求放在一条治理链路里看。学习时可以先进入云原生安全学习路径,再回到本页按具体主题深入。
如果问题更偏Kubernetes对象、RBAC、Secret、NetworkPolicy和准入策略,可以继续阅读Kubernetes安全;如果问题更偏镜像、特权容器、运行时隔离和容器平台基线,可以继续阅读容器安全。
- 覆盖镜像供应链、容器运行时、Kubernetes权限、网络隔离和审计合规
- 适合从安全基线、风险清单、平台治理和合规要求四个角度查找内容
- 通过学习路径、相关主题和推荐文章连接容器安全、K8s安全与镜像治理
云原生安全需要覆盖构建、分发、部署、运行和审计全过程。镜像扫描只能解决入口风险,RBAC只能解决部分权限问题,生产环境还需要把准入控制、运行时检测、网络策略、Secret管理和审计日志结合起来。
建议先建立最小安全基线,例如镜像来源、非root运行、禁止特权容器、Secret管理、RBAC最小权限和审计日志;再逐步补齐镜像签名、OPA策略、运行时检测、多租户隔离和合规检查。
云原生安全是总入口,Kubernetes安全更关注集群对象与策略,容器安全更关注镜像、权限和运行时,容器镜像更关注供应链入口。几个页面互联后,可以避免读者只停留在单点配置。
学习路径
推荐阅读
-
DevSecOps是什么?如何把安全左移融入CI-CD流程
DevSecOps 不是在流水线里多加一个扫描步骤,而是把安全要求提前嵌进研发和交付链路。本文会从企业落地角度讲清楚它为什么重要、该怎么做。
-
容器安全最佳实践:镜像扫描+运行时防护+网络策略
读完本文,你可以把容器安全从单点扫描,升级为覆盖镜像、运行时和网络边界的三层防护方法。
-
策略即代码怎么落地?OPA、Kyverno与平台治理边界设计
读完本文,你可以快速把握《策略即代码怎么落地?OPA、Kyverno与平台治理边界设计》的关键问题与落地重点,并判断当前更值得优先推进哪些能力。
-
企业密钥管理怎么做?Secrets、KMS与应用访问控制设计
读完本文,你可以梳理《企业密钥管理怎么做?Secrets、KMS与应用访问控制设计》的关键步骤与落地重点,并判断当前最该先补哪一层能力。
-
Kubernetes准入控制怎么做?从镜像策略到配置基线的落地方法
读完本文,你可以梳理《Kubernetes准入控制怎么做?从镜像策略到配置基线的落地方法》的关键步骤与落地重点,并判断当前最该先补哪一层能力。
-
软件供应链安全怎么做?从SBOM到制品签名的治理闭环
读完本文,你可以梳理《软件供应链安全怎么做?从SBOM到制品签名的治理闭环》的关键步骤与落地重点,并判断当前最该先补哪一层能力。
-
Kubernetes多集群灾备怎么做?跨地域容灾与应用连续性设计
读完本文,你可以梳理《Kubernetes多集群灾备怎么做?跨地域容灾与应用连续性设计》的关键步骤与落地重点,并判断当前最该先补哪一层能力。
-
零信任落地为什么这么难?身份、设备与应用访问控制的现实挑战
读完本文,你可以快速把握《零信任落地为什么这么难?身份、设备与应用访问控制的现实挑战》的关键问题与落地重点,并判断当前更值得优先推进哪些能力。
-
DevSecOps怎么落地?安全左移不是加流程而是重构交付链路
读完本文,你可以快速把握《DevSecOps怎么落地?安全左移不是加流程而是重构交付链路》的关键问题与落地重点,并判断当前更值得优先推进哪些能力。
-
Harbor替代方案有哪些?企业镜像仓库平台怎么选
读完本文,你可以建立《Harbor替代方案有哪些?企业镜像仓库平台怎么选》的评估框架,并判断当前更该优先关注哪些能力、架构与取舍。
-
容器运行时安全怎么做?从镜像准入到运行时防护
读完本文,你可以梳理《容器运行时安全怎么做?从镜像准入到运行时防护》的关键步骤与落地重点,并判断当前最该先补哪一层能力。
-
AI Agent安全挑战:企业级智能体部署的三道防线
读完本文,你可以梳理《AI Agent安全挑战:企业级智能体部署的三道防线》的关键步骤与落地重点,并判断当前最该先补哪一层能力。
-
零信任是什么?云原生环境下的身份、访问与安全控制思路
零信任是什么?本文从核心理念、与传统边界安全的区别、身份与最小权限控制,以及云原生环境下的落地思路等角度,讲清楚零信任为什么越来越重要。
-
运行时安全是什么?为什么镜像扫描做了还不够
运行时安全是什么?本文从异常进程、文件篡改、网络外联、提权逃逸和运行时检测等角度,讲清楚容器与云原生运行时安全到底在防什么,以及它为什么不能被镜像扫描替代。
-
Kubernetes网络策略怎么用?从NetworkPolicy原理到落地方法
Kubernetes网络策略怎么用?本文从 NetworkPolicy 的作用、CNI 前提、策略设计、典型 YAML 示例和落地顺序等角度,讲清楚 Kubernetes 集群里如何做更实用的网络隔离。
-
Kubernetes安全怎么做?从权限控制到网络策略的关键实践
Kubernetes安全怎么做,是很多团队从“把集群跑起来”走向“把集群稳定用起来”时必须面对的问题。Kubernetes 本身提供了丰富的权限、网络、配置和策略能力,但这些能力如果不被正确配置,反而会形成新的风险面。真正的 Kubernetes 安全,不是简单装一个安全工具,而是要把身份权限、镜像来源、配置基线、网络隔离、运行时防护和交付流程串成一套系统化…
-
云原生安全是什么?核心风险、能力模型与建设方向详解
随着应用越来越多地运行在容器、Kubernetes、微服务和自动化交付体系之上,安全问题也从传统主机防护,延伸到镜像、集群、网络、身份、运行时和软件供应链等多个层面。理解云原生安全是什么,关键不是把安全看成某一个工具或单点产品,而是把它看作覆盖研发、交付、部署和运行全生命周期的系统化能力。 一、云原生安全是什么 云原生安全,是指围绕容器、Kubernetes…
-
CNCF《云原生安全白皮书》v2 中文版
如何进行云原生安全防护?
了解更多关于云原生安全的信息
云原生安全应该先做镜像扫描还是Kubernetes加固?
两者都重要,但顺序上建议先建立最小基线。镜像扫描负责控制进入集群的制品风险,Kubernetes加固负责控制运行时权限、访问边界和审计能力。
如果只能先做一批动作,可以从基础镜像来源、镜像漏洞分级、非root运行、禁止特权容器、RBAC最小权限、Secret管理和审计日志开始,这些动作覆盖面广,能快速降低高频风险。
云原生安全和Kubernetes安全有什么区别?
Kubernetes安全更聚焦集群对象和控制面能力,例如RBAC、Secret、NetworkPolicy、安全上下文、准入控制和审计日志。
云原生安全范围更大,会把镜像供应链、容器运行时、API安全、多云策略、合规基线和平台治理一起纳入。可以把Kubernetes安全看作云原生安全体系中的关键组成部分。
企业落地云原生安全最容易忽略什么?
最容易忽略的是规则如何持续执行。很多团队能写出安全规范,但没有把规范沉淀到镜像仓库、CI/CD、准入控制、部署模板、运行时检测和审计流程中,导致实际执行依赖人工经验。
真正有效的云原生安全应把高风险配置前置拦截,把例外流程记录清楚,并能在审计或事故复盘时追溯到镜像、版本、集群、命名空间和负责人。
云原生安全学习路径和标签页如何配合使用?
学习路径适合按阶段学习:先看安全基础与基线,再看镜像供应链,再进入Kubernetes权限、准入和运行时安全,最后学习多云、API和企业级治理。
标签页适合按问题查找,例如只想查镜像漏洞扫描、OPA准入控制、K8s审计日志或NetworkPolicy时,可以直接从相关主题和推荐文章进入。