@umacloud/knowledge 1.0.1

package/cloud-native/05-cases/case-k8s-security-incident.md

@@ -0,0 +1,397 @@
+---
+title: 案例：Kubernetes 安全事件
+version: 1.0.0
+last_updated: 2025-03-20
+owner: security-team
+tags: [kubernetes, security, incident, case-study]
+status: production
+domain: cloud-native
+difficulty: intermediate
+quality_score: 70
+---
+
+# 开发：Excellent（11964948@qq.com）
+# 功能：Kubernetes 安全事件响应实战案例
+# 作用：分享 K8s 安全事件的处理经验
+# 创建时间：2025-03-20
+# 最后修改：2025-03-20
+
+## 背景
+
+某金融科技公司的 Kubernetes 生产集群遭遇安全事件：
+- 异常流量从集群内发起对外扫描
+- 多个 Pod 被植入挖矿程序
+- 敏感数据疑似泄露
+
+## 事件时间线
+
+```
+09:15 - 监控告警：异常出站流量
+09:20 - 安全团队介入，开始调查
+09:30 - 确认安全事件，启动应急响应
+10:00 - 隔离受影响 Pod，阻断攻击路径
+11:00 - 清除恶意程序，恢复服务
+14:00 - 完成事件分析，制定加固措施
+16:00 - 实施安全加固
+次日 - 发布安全事件报告
+```
+
+## 攻击路径分析
+
+### 1. 初始入侵
+
+**漏洞**：未认证的 Kubernetes Dashboard
+
+```yaml
+# [WARN] 暴露的 Dashboard（错误配置示例）
+apiVersion: v1
+kind: Service
+metadata:
+  name: kubernetes-dashboard
+spec:
+  type: NodePort  # 对外暴露
+  ports:
+  - port: 443
+    targetPort: 8443
+    nodePort: 30000  # 直接暴露
+```
+
+**攻击步骤**：
+1. 扫描发现 NodePort 30000 开放
+2. 访问 Dashboard 无需认证
+3. 通过 Dashboard 创建恶意 Pod
+4. 获取集群管理员权限
+
+### 2. 横向移动
+
+**利用**：过度授权的 ServiceAccount
+
+```yaml
+# [WARN] 过度授权（错误配置示例）
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRoleBinding
+metadata:
+  name: dashboard-admin
+subjects:
+- kind: ServiceAccount
+  name: dashboard
+  namespace: kubernetes-dashboard
+roleRef:
+  kind: ClusterRole
+  name: cluster-admin  # 完全控制
+```
+
+### 3. 权限维持
+
+攻击者创建了伪装的系统更新任务。
+
+## 应急响应
+
+### 第一阶段：遏制和隔离
+
+#### 1.1 网络隔离
+
+```yaml
+# 立即实施网络隔离
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: emergency-isolation
+  namespace: affected-namespace
+spec:
+  podSelector: {}
+  policyTypes:
+  - Ingress
+  - Egress
+  # 阻止所有流量
+```
+
+```bash
+# 阻断可疑出站流量
+kubectl apply -f emergency-network-policy.yaml
+
+# 切断外部访问
+kubectl patch svc kubernetes-dashboard -p '{"spec":{"type":"ClusterIP"}}'
+```
+
+#### 1.2 隔离受影响 Pod
+
+```bash
+# 标记受影响 Pod
+kubectl label pods -n affected-namespace --all security.incident=true
+
+# 隔离 Pod（添加 NetworkPolicy）
+kubectl apply -f isolation-policy.yaml
+
+# 保留证据（导出 Pod 信息）
+kubectl get pods -n affected-namespace -o yaml > /forensics/pods-backup.yaml
+kubectl logs -n affected-namespace <pod-name> > /forensics/pod-logs.txt
+```
+
+#### 1.3 撤销凭证
+
+```bash
+# 删除可疑 ServiceAccount token
+kubectl delete secret -n kubernetes-dashboard dashboard-token
+
+# 轮换关键 Secret
+# 根据应用需求重新创建凭证
+```
+
+### 第二阶段：清除和恢复
+
+#### 2.1 删除恶意资源
+
+```bash
+# 识别异常资源（检查可疑镜像）
+kubectl get pods -A -o json | jq '.items[] | select(.spec.containers[].image | contains("suspicious")) | .metadata.name + " " + .metadata.namespace'
+
+# 删除受影响的 Pod
+kubectl delete pod <affected-pod> -n <namespace>
+
+# 删除可疑的 CronJob
+kubectl delete cronjob <suspicious-job> -n kube-system
+
+# 清理过度授权的 RBAC
+kubectl delete clusterrolebinding dashboard-admin
+```
+
+#### 2.2 修复漏洞
+
+```yaml
+# [DONE] 修复 Dashboard 配置
+apiVersion: v1
+kind: Service
+metadata:
+  name: kubernetes-dashboard
+spec:
+  type: ClusterIP  # 仅集群内部访问
+  ports:
+  - port: 443
+    targetPort: 8443
+
+---
+# 最小权限 RBAC
+apiVersion: rbac.authorization.k8s.io/v1
+kind: Role
+metadata:
+  name: dashboard-view
+  namespace: kubernetes-dashboard
+rules:
+- apiGroups: [""]
+  resources: ["pods", "services"]
+  verbs: ["get", "list"]
+- apiGroups: ["apps"]
+  resources: ["deployments"]
+  verbs: ["get", "list"]
+```
+
+#### 2.3 恢复服务
+
+```bash
+# 验证清理完成
+kubectl get pods -A | grep -v Running
+kubectl get cronjobs -A
+
+# 逐步恢复网络
+kubectl apply -f production-network-policy.yaml
+
+# 验证服务健康
+kubectl rollout status deployment/api-service -n production
+```
+
+### 第三阶段：事后分析
+
+#### 3.1 日志分析
+
+```bash
+# 审计日志分析
+kubectl logs -n kube-system kube-apiserver-master1 --since=24h | grep -E "(create|delete|update)" > audit-events.log
+
+# 查找可疑 API 调用
+grep "system:anonymous" audit-events.log
+
+# Pod 创建记录
+kubectl get events --all-namespaces --sort-by='.lastTimestamp' | grep Created
+```
+
+#### 3.2 影响评估
+
+```yaml
+# 影响范围报告
+impact_assessment:
+  affected_namespaces:
+    - production-api
+    - production-worker
+  affected_pods: 15
+  data_exposure:
+    - database_credentials
+    - api_keys
+  malicious_activity:
+    - cryptomining
+    - network_scanning
+  duration: 4 hours
+```
+
+## 根因分析
+
+### 1. 安全配置缺陷
+
+| 问题 | 风险等级 | 影响 |
+|------|---------|------|
+| Dashboard 暴露 | 高 | 初始入侵点 |
+| 无认证访问 | 高 | 未经授权访问 |
+| 过度授权 | 高 | 权限提升 |
+| 无网络策略 | 中 | 横向移动 |
+| 无运行时监控 | 中 | 延迟发现 |
+
+### 2. 监控盲区
+
+- 无异常行为检测
+- 无出站流量监控
+- 无镜像扫描
+- 无审计日志分析
+
+## 安全加固措施
+
+### 1. 访问控制加固
+
+```yaml
+# 启用 RBAC
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  name: dashboard-restricted
+rules:
+- apiGroups: [""]
+  resources: ["pods", "services", "configmaps"]
+  verbs: ["get", "list", "watch"]
+- apiGroups: ["apps"]
+  resources: ["deployments", "replicasets"]
+  verbs: ["get", "list", "watch"]
+# 不包含 create/delete/update
+```
+
+### 2. 网络隔离
+
+```yaml
+# 默认拒绝策略
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: default-deny-all
+  namespace: kubernetes-dashboard
+spec:
+  podSelector: {}
+  policyTypes:
+  - Ingress
+  - Egress
+```
+
+### 3. 运行时安全
+
+使用 Falco 进行运行时安全监控，配置规则检测异常行为。
+
+### 4. 审计增强
+
+```yaml
+# 审计策略
+apiVersion: audit.k8s.io/v1
+kind: Policy
+rules:
+# 记录所有 Secret 操作
+- level: RequestResponse
+  resources:
+  - group: ""
+    resources: ["secrets"]
+
+# 记录所有 Pod 创建
+- level: RequestResponse
+  resources:
+  - group: ""
+    resources: ["pods"]
+  verbs: ["create", "delete"]
+
+# 记录所有 RBAC 变更
+- level: RequestResponse
+  resources:
+  - group: "rbac.authorization.k8s.io"
+    resources: ["roles", "rolebindings", "clusterroles", "clusterrolebindings"]
+
+# 记录匿名访问
+- level: Metadata
+  users: ["system:anonymous"]
+```
+
+### 5. 镜像安全
+
+```yaml
+# Kyverno 镜像策略
+apiVersion: kyverno.io/v1
+kind: ClusterPolicy
+metadata:
+  name: restrict-image-registries
+spec:
+  validationFailureAction: enforce
+  rules:
+  - name: validate-registry
+    match:
+      resources:
+        kinds:
+        - Pod
+    validate:
+      message: "Images must be from approved registries"
+      pattern:
+        spec:
+          containers:
+          - image: "registry.company.com/* | gcr.io/*"
+```
+
+## 经验教训
+
+### 关键发现
+
+1. **入口暴露**：Dashboard 不应暴露到公网
+2. **权限过大**：最小权限原则未遵循
+3. **监控缺失**：无运行时安全监控
+4. **响应延迟**：从告警到响应用时过长
+
+### 改进措施
+
+1. **立即**：关闭外部访问入口
+2. **短期**：部署网络策略和运行时安全
+3. **中期**：建立安全监控体系
+4. **长期**：培养安全意识
+
+## 检查清单
+
+### 事件响应检查清单
+
+- [ ] 确认事件范围
+- [ ] 隔离受影响资源
+- [ ] 保留证据
+- [ ] 阻断攻击路径
+- [ ] 清除恶意资源
+- [ ] 修复漏洞
+- [ ] 恢复服务
+- [ ] 完成分析报告
+- [ ] 实施加固措施
+- [ ] 更新应急预案
+
+### 安全加固检查清单
+
+- [ ] RBAC 最小权限
+- [ ] NetworkPolicy 配置
+- [ ] Pod Security Standards
+- [ ] 镜像签名验证
+- [ ] 运行时安全监控
+- [ ] 审计日志启用
+- [ ] Secret 加密
+- [ ] 定期安全审计
+
+## 参考资料
+
+- [Kubernetes 安全最佳实践](https://kubernetes.io/docs/concepts/security/)
+- [CIS Kubernetes Benchmark](https://www.cisecurity.org/benchmark/kubernetes)
+- [NSA Kubernetes 加固指南](https://media.defense.gov/2022/Aug/29/2003055140/1-1021055140/CTR-KUBERNETES-HARDENING-GUIDANCE.PDF)
+- [Falco 文档](https://falco.org/docs/)

package/cloud-native/06-glossary/cloud-native-glossary.md

@@ -0,0 +1,337 @@
+---
+title: 云原生词汇表
+version: 1.0.0
+last_updated: 2025-03-20
+owner: platform-team
+tags: [cloud-native, glossary, terminology]
+status: production
+domain: cloud-native
+difficulty: intermediate
+quality_score: 70
+---
+
+# 开发：Excellent（11964948@qq.com）
+# 功能：云原生核心术语定义
+# 作用：统一术语理解，便于沟通和学习
+# 创建时间：2025-03-20
+# 最后修改：2025-03-20
+
+## A
+
+### API Server
+Kubernetes 控制平面组件，提供 RESTful API 接口，是集群管理的入口。
+
+### Admission Controller
+Kubernetes API 请求的拦截插件，用于验证和修改请求。
+
+### AppArmor
+Linux 安全模块，通过配置文件限制程序的能力。
+
+### ArgoCD
+声明式 GitOps 持续部署工具，以 Git 为单一事实来源。
+
+### Autoscaler
+自动扩缩容组件，包括 HPA（Pod 级别）和 Cluster Autoscaler（节点级别）。
+
+## B
+
+### Blue-Green Deployment
+蓝绿部署，维护两套完全相同的环境，通过切换流量实现零停机部署。
+
+### Broker
+消息代理，在发布-订阅模式中接收和分发消息。
+
+## C
+
+### Canary Release
+金丝雀发布，逐步将流量导向新版本，降低发布风险。
+
+### cgroups (Control Groups)
+Linux 内核功能，限制、记录和隔离进程组使用的物理资源。
+
+### CI/CD
+持续集成/持续部署，自动化软件交付流程。
+
+### Cluster
+集群，一组节点（物理机或虚拟机）的集合，运行容器化应用。
+
+### Cluster Autoscaler
+Kubernetes 组件，根据资源需求自动调整节点数量。
+
+### ConfigMap
+Kubernetes 资源，用于存储非敏感配置数据。
+
+### Container
+容器，轻量级、可执行的独立软件包，包含运行所需的所有内容。
+
+### Container Runtime
+容器运行时，负责运行容器的软件（如 containerd、CRI-O）。
+
+### ContainerD
+高性能容器运行时，Docker 项目的核心组件。
+
+### Control Plane
+控制平面，Kubernetes 集群的大脑，管理集群状态。
+
+### CRI (Container Runtime Interface)
+容器运行时接口，Kubernetes 与容器运行时交互的标准。
+
+### CSI (Container Storage Interface)
+容器存储接口，Kubernetes 与存储系统交互的标准。
+
+### CNI (Container Network Interface)
+容器网络接口，配置容器网络的标准。
+
+## D
+
+### DaemonSet
+Kubernetes 资源，确保每个节点运行一个 Pod 副本。
+
+### Deployment
+Kubernetes 资源，管理无状态应用的部署和更新。
+
+### Desired State
+期望状态，系统应该达到的目标配置。
+
+### Distroles
+极简容器镜像，仅包含应用程序及其运行时依赖。
+
+### Docker
+容器化平台，用于构建、分发和运行容器。
+
+## E
+
+### etcd
+分布式键值存储，用于存储 Kubernetes 集群的所有数据。
+
+### Event
+Kubernetes 事件，记录集群中发生的操作和状态变化。
+
+### External Secrets
+Kubernetes 扩展，从外部密钥管理系统（如 Vault）同步密钥。
+
+## F
+
+### Falco
+云原生运行时安全工具，检测异常行为。
+
+### Federation
+集群联邦，跨多个 Kubernetes 集群管理资源。
+
+## G
+
+### Gateway
+服务网格入口点，处理南北向流量。
+
+### GitOps
+使用 Git 作为单一事实来源的基础设施和应用管理方法。
+
+### gRPC
+高性能 RPC 框架，使用 Protocol Buffers 序列化。
+
+## H
+
+### Helm
+Kubernetes 包管理器，使用 Chart 管理应用。
+
+### Horizontal Pod Autoscaler (HPA)
+Kubernetes 资源，根据 CPU/内存使用率自动扩缩 Pod 数量。
+
+## I
+
+### IaC (Infrastructure as Code)
+基础设施即代码，使用代码管理和配置基础设施。
+
+### Image
+容器镜像，包含应用程序及其依赖的只读模板。
+
+### Ingress
+Kubernetes 资源，管理外部访问集群内服务的规则。
+
+### Istio
+开源服务网格，提供流量管理、安全、可观测性。
+
+## J
+
+### Jaeger
+分布式追踪系统，用于监控和故障排查。
+
+## K
+
+### kubectl
+Kubernetes 命令行工具，用于与集群交互。
+
+### Kubelet
+Kubernetes 节点代理，负责 Pod 生命周期管理。
+
+### kube-proxy
+Kubernetes 网络代理，实现 Service 的负载均衡。
+
+### Kubernetes (K8s)
+开源容器编排平台，自动化部署、扩展和管理容器化应用。
+
+### Kustomize
+Kubernetes 原生配置管理工具，支持声明式定制。
+
+## L
+
+### Label
+键值对标签，附加到 Kubernetes 对象上用于选择和组织。
+
+### Liveness Probe
+存活探针，检测容器是否运行，失败则重启容器。
+
+### LoadBalancer
+负载均衡器类型 Service，通过云提供商的负载均衡器暴露服务。
+
+## M
+
+### Microservices
+微服务架构，将应用拆分为小型、独立的服务。
+
+### mTLS (Mutual TLS)
+双向 TLS，服务间双向认证和加密通信。
+
+### Multicloud
+多云策略，使用多个云服务提供商。
+
+## N
+
+### Namespace
+命名空间，Kubernetes 集群内的虚拟集群，用于资源隔离。
+
+### Network Policy
+网络策略，控制 Pod 间网络流量的规则。
+
+### Node
+节点，Kubernetes 集群中的工作机器。
+
+## O
+
+### OPA (Open Policy Agent)
+策略引擎，用于声明式策略定义和执行。
+
+### Operator
+Kubernetes 扩展模式，使用自定义资源管理复杂应用。
+
+## P
+
+### Persistent Volume (PV)
+持久卷，集群级别的存储资源。
+
+### Persistent Volume Claim (PVC)
+持久卷声明，用户对存储资源的请求。
+
+### Pod
+Kubernetes 最小部署单元，包含一个或多个容器。
+
+### Pod Security Policy (PSP)
+Pod 安全策略，控制 Pod 的安全配置（已废弃，使用 Pod Security Standards）。
+
+### Prometheus
+开源监控和告警系统，云原生监控标准。
+
+## R
+
+### RBAC (Role-Based Access Control)
+基于角色的访问控制，Kubernetes 权限管理机制。
+
+### Readiness Probe
+就绪探针，检测容器是否准备好接收流量。
+
+### ReplicaSet
+Kubernetes 资源，维护指定数量的 Pod 副本。
+
+### Rolling Update
+滚动更新，逐步替换旧版本 Pod 的更新策略。
+
+## S
+
+### Seccomp (Secure Computing Mode)
+Linux 安全功能，限制进程可以调用的系统调用。
+
+### Secret
+Kubernetes 资源，用于存储敏感信息（密码、密钥等）。
+
+### Selector
+选择器，通过标签筛选 Kubernetes 对象。
+
+### Self-Healing
+自愈，系统自动检测和修复故障的能力。
+
+### Service
+Kubernetes 资源，定义一组 Pod 的访问策略。
+
+### Service Account
+服务账户，Pod 用于访问 Kubernetes API 的身份。
+
+### Service Mesh
+服务网格，处理服务间通信的基础设施层。
+
+### Sidecar
+边车模式，在同一个 Pod 中运行辅助容器。
+
+### StatefulSet
+Kubernetes 资源，管理有状态应用的部署。
+
+## T
+
+### Taint
+污点，标记节点以阻止 Pod 调度（除非有匹配的容忍度）。
+
+### Toleration
+容忍度，允许 Pod 调度到有特定污点的节点。
+
+### Tracing
+追踪，跟踪请求在分布式系统中的路径。
+
+## U
+
+### User Namespace
+用户命名空间，隔离用户和组 ID。
+
+## V
+
+### Vertical Pod Autoscaler (VPA)
+Kubernetes 扩展，自动调整 Pod 的 CPU 和内存资源。
+
+### Virtual Service
+Istio 资源，配置服务网格中的流量路由规则。
+
+## W
+
+### Workload
+工作负载，运行在 Kubernetes 上的应用程序。
+
+## Z
+
+### Zero Downtime
+零停机，部署过程中服务持续可用。
+
+### Zero Trust
+零信任，默认不信任任何用户或系统，持续验证。
+
+## 缩写对照表
+
+| 缩写 | 全称 |
+|------|------|
+| K8s | Kubernetes |
+| HPA | Horizontal Pod Autoscaler |
+| VPA | Vertical Pod Autoscaler |
+| RBAC | Role-Based Access Control |
+| PV | Persistent Volume |
+| PVC | Persistent Volume Claim |
+| CRD | Custom Resource Definition |
+| CNI | Container Network Interface |
+| CSI | Container Storage Interface |
+| CRI | Container Runtime Interface |
+| mTLS | Mutual TLS |
+| OPA | Open Policy Agent |
+| IaC | Infrastructure as Code |
+| CI/CD | Continuous Integration/Continuous Deployment |
+
+## 参考资料
+
+- [CNCF Glossary](https://glossary.cncf.io/)
+- [Kubernetes 术语表](https://kubernetes.io/zh-cn/docs/reference/glossary/)
+- [Istio 术语表](https://istio.io/latest/docs/reference/glossary/)