Kubernetes安全指南 2025的介绍.pdf

1

©2025云安全联盟大中华区版权所有

©2024云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问

云安全联盟大中华区官网（）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；

(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作

权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。

2

©2025云安全联盟大中华区版权所有

3

©2025云安全联盟大中华区版权所有

致谢

《Kubernetes安全指南》由CSA大中华区云原生安全工作组内K8S安全研究项目组专家撰写，

感谢以下专家的贡献：

编写组：

王亮党超辉TeamsSix

审校组：

刘文懋谢奕智杨天识卜宋博

何诣莘徐岩张元恺夏威

4

©2025云安全联盟大中华区版权所有

序言

《Kubernetes安全指南》基于Kubernetes技术架构及基本组件，运用ATTCK模型，深入探

讨了Kubernetes攻防矩阵。从攻防双方视角分析针对各种弱点的攻击手法以及防御手段。

指南关注Kubernetes平台的攻防研究。从攻击者的角度追踪现实世界中的使用和出现过的用

法，详细描述初始访问--执行--持久化--权限提升--防御绕过--凭据窃取--探测--

横向移动--影响等9类不同战术，并将9类战术中常用的65种技术进行了深入探讨。文章图文

并茂展示了真实的攻击场景，为研究Kubernetes的安全人员提供给了可借鉴的实例。

指南中从防御方的视角描述了漏洞、配置错误两大类风险。通过每种风险的剖析，解释了采

用何种手段可有效降低风险提高攻击方的攻击成本。

指南中介绍了4个Kubernetes相关的安全开源项目。分别是Kubebench、OPA、CDK、Trivy。

通过对以上安全开源项目介绍，为读者在防御阶段使用工具提供了参考。应用场景和优秀开源项

目的介绍，有助于推动Kubernetes安全技术的进一步发展和实践。

希望通过指南深入浅出地为读者介绍Kubernetes相关的安全知识。广大的Kubernetes运维

人员可以使用本报告作为其日常工作的工具参考。

李雨航YaleLi

CSA大中华区主席兼研究院院长

5

©2025云安全联盟大中华区版权所有

目录

1.Kubernetes简介8

1.1Kubernetes架构8

1.2Kubernetes组件9

1.2.1控制平面组件9

1.2.2节点组件11

2.Kubernetes安全风险12

2.1KubernetesATTCK矩阵12

2.2KubernetesATTCK矩阵详述14