让我们首先回顾一下中对安全性有影响的重要更新: 第3031章 发布神器签名 在 目已将通发布工件签名的支持升级到 Beta 版(它首次作为 引入)。此功能允许这些版本的用户将签名验证嵌入到其发布过程中,从而降低供应链妥协的风险。发布工件包括容器映像、二进制文件和作为版本的一部分分发的其他文件等内容。内置准入控制 了一项新的 alpha 功能,允许集群运营商使用通用表达语言 模板在准入时验证工作负载,而无需额外的软件。此功能作为集群内控制器实现,该控制器使用 CEL 模板根据一组预定义策略评估传入请求。这使得集群操作员可以更轻松地实施安全策略(例如图像签名控制),并降低与使用外部准入控制器相关的风险。
但需要注意的是
该版本的功能仅验证准,不支持工作负载突变。对于此类功能,仍然需外部产品。 第章 CSI对 版本中,引入了容器存储接 驱动程序,该驱动程序能够在附加或安装卷时将所有权和权限设置应用于存储资源。具体来说,中添加的 字 马其顿电话号码列表 段允许您指定存储资源的组所有权。这允许用户确保使用特定运行的 具有对存储资源的适当访问权限。它还有助于确保在存储资源暴露给集群后立即对这些资源实施正确的访问控制。通过扩展,此更改可以更轻松地执行符合标准化准则的 Kubernetes 安全规则。 查询用户自身属性 由于 Kubernetes 缺乏“用户”对象的概念,而是依赖多种身份验证机制根据身份验证期间提供的信息来分配用户名和组成员身份,因此用户在排除授权故障时很难找出自己属于哪些组集群中的问题。
级别的一项新功
旨在通过提供一个 API 端点来填补这一空白,用户可以在身份验证后调用该端点来获取有关自己的信息。 #2799 减少基于秘密的服务帐户令牌 这并不是一个真正的新功能,而是更多关于 Kubernetes 如何处理服务帐户以增强集群安全性的更新。为了对 API 服务器进行身份验证,在 1.26 之前,传统上会在 Pod 创建时根据 Kubernetes 密钥为服务帐户分配凭据。这种方法的 BQB 目录 缺点是这些秘密不会过期,这意味着如果其中一个秘密丢失或被盗,撤销访问权限的唯一方法是删除服务帐户本身,如果它是系统服务帐户,这可能会特别麻烦。新方法是利用 TokenRequest API 为服务帐户提供过期的 JSON Web 令牌 (JWT) 来代替这些机密。这样做的明显好处是降低了攻击者窃取代币的风险。 #1981 Windows 特权容器 新版本支持在特权模式下运行 Windows 容器作为一项稳定功能。
发表评论