Безопасность Kubernetes: защита кластера от DDoS и взломов

Kubernetes по умолчанию не безопасен. Кластер из коробки — это открытые порты, pods без ограничений и плоская сеть без сегментации.

Топ-5 уязвимостей K8s

1. Открытый API Server — доступ без аутентификации
2. Privileged containers — root внутри pod = root на ноде
3. Отсутствие Network Policies — любой pod видит любой pod
4. Secrets в plain text — base64 это не шифрование
5. Устаревшие образы — известные CVE в production

Network Policies: сегментация на уровне подов

Без Network Policies сеть K8s — как офис без стен. Любой compromised pod может сканировать весь кластер.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
spec:
  podSelector: {}
  policyTypes:
  - Ingress

Защита Ingress от DDoS

Rate limiting на уровне Ingress Controller (nginx-ingress, Traefik). WAF перед кластером (ModSecurity, Cloudflare). HPA для auto-scaling при spike нагрузки.

RBAC: минимум привилегий

Каждый ServiceAccount — только те права, которые реально нужны. Никаких cluster-admin для приложений. Audit logs для всех действий.

Runtime Security

Falco — обнаружение аномалий в runtime. OPA/Gatekeeper — policy enforcement. Trivy, Anchore — сканирование образов.

Kubernetes security — это не продукт, а процесс. Постоянный мониторинг, обновления, аудит.