Kubernetesista on tullut oletusorkestroinnin alusta puolustussektorin pilviworkloadeille — kontainerisoiduista C2-järjestelmistä ja sensoridataputkistoista taktisella reunalla toimiviin tekoälyn päättelypalveluihin. Tämä käyttöönotto tuo mukanaan tietoturvaongelman, johon yritystason Kubernetes-kovettamisoppaat eivät vastaa: sotilaallisen työmäärän uhkamalli on perustavanlaatuisesti erilainen kuin kaupallisen SaaS-sovelluksen uhkamalli. Vastustajalla on kansakunnan resurssit, sisäisellä uhalla on turvallisuusselvitys, toimitusketju on laillinen hyökkäysvektori, ja konttipakenemisen tai tietojen suodattamisen seuraukset ovat luokiteltujen tietojen menetys eikä PCI-sakko. Tavanomainen yrityskovettaminen on välttämätöntä, mutta ei riittävää.
Tämä opas kattaa sotilaallisten työmäärien pilviturvallisuuden koko pinon Kubernetesissa: puolustuskohtaisen uhkamallin, pod-eristyksen, verkkosegmentoinnin, salaisuuksien hallinnan, RBAC-kovettamisen, kuvatoimitusketjun eheyden, ajonaikaisen poikkeamien havaitsemisen ja jatkuvan vaatimustenmukaisuuden automaation.
1. Kubernetes-uhkamalli puolustuksessa
Vihamielinen sisäpiiriläinen laillisella pääsyllä. Ohjausmenetelmien on oletettava, että hyökkääjä voi todentautua laillisesti, ja niiden on nojauduttava vähimmäisoikeusperiaatteeseen, käyttäytymisen valvontaan ja peukaloinninkestäviin tarkastuslokeihin pelkän perimetriautentikoinnin sijaan.
Toimitusketjun kompromissi. Ohjausmenetelmien on pidettävä jokaista konttikuvaa mahdollisesti vaarantuneena, kunnes todennettu kryptografinen todistus osoittaa toisin.
Verkkopohjainen sivuttaisliike. Puolustusklusterit eivät voi sietää Kubernetesin oletuskäyttäytymistä, joka sallii rajoittamattoman pod-välisen viestinnän. Verkkoohjausten on oletettava vähintään yhden podin olevan vaarantunut koko ajan.
Konttipakeneminen. Luokiteltujen työmäärien osalta konttipakeneminen vastaa suoraa pääsyä isäntäkoneeseen ja mahdollisesti kaikkiin muihin kyseisellä solmulla oleviin työmääriin.
2. Pod-turvallisuus: PodSecurityAdmission ja konttien kovettaminen
Sotilaallisille työmäärille PSA:n restricted-profiili on kaikkien sovellusnimitilojen perusvaatimus. Se pakottaa: ei etuoikeutettuja kontteja, ei isäntänimitilan jakamista, ei root-käyttäjää, vain luku -juuritiedostojärjestelmä, kaikki valtuudet poistettu ja RuntimeDefault-seccomp-profiili.
3. Verkkokäytännöt: zero-trust-pod-välinen viestintä
Jokainen nimitila vaatii luomishetkellä sovelletun NetworkPolicy-oletuskiellon sekä saapuvalle että lähtevälle liikenteelle. Calico ja Cilium ovat puolustuskäyttöön sopivat CNI-liitännäiset. Ilmaraollisille klustereille kaiken pod-lähtevän liikenteen estäminen ulkoisiin verkkoihin on ehdotonta. Ciliumin eBPF-valvonta hylkää kielletyt paketit ytimen verkkopinossa.
4. Salaisuuksien hallinta: Vault, Sealed Secrets ja HSM-varmennettu KMS
HashiCorp Vault vault-agent-sivuvaunun injektiolla toimittaa salaisuudet muistissa oleviin tmpfs-taltioon — ei koskaan levylle, ei koskaan ympäristömuuttujina. Sealed Secrets mahdollistaa GitOps-työnkulut salaamalla salaisuusmanifestit turvalliseen Git-tallennukseen. Korkeimmat luokitustasot edellyttävät FIPS 140-2 Level 3 -HSM:ää tukemaan Vaultin KMS-automaattista sinetinavausta.
5. RBAC-kovettaminen: vähimmäisoikeudet, nimitilan eristys, tarkastuslokit
Omistetut ServiceAccountit per työmäärä, token-automaattinen liittäminen oletuksena poistettu, ei ClusterRoleBinding-sidoksia sovelluksen työmäärille. API-palvelimen tarkastuslokit toimitetaan reaaliajassa ulkoiseen, vain lisäykseen sopivaan, peukaloinninkestävään lokivarastoon.
6. Kuvatoimitusketju: Cosign-allekirjoitus, pääsywebhookit, yksityinen rekisteri
Kaikki kuvat on allekirjoitettu Cosignilla KMS- tai HSM-varmennetulla avaimella. Kyverno pakottaa allekirjoituksen todentamisen pääsyssä. Tuotantonimitilat hakevat vain sisäisestä yksityisestä rekisteristä; julkisten rekisterien käyttö ei ole sallittua.
7. Ajonaikainen turvallisuus: Falco, eBPF-valvonta, gVisor epäluotettuihin työmääriin
Falco tarjoaa reaaliaikaista ytimen järjestelmäkutsujen valvontaa eBPF:n kautta MITRE ATT&CK-kartoitetuilla säännöillä ja mukautetuilla puolustussäännöillä. Hälytykset syötetään SIEM:iin reaaliajassa. gVisor suojaa epäluotettuja työmääriä; tavalliset kontit Falcolla/seccompilla käsittelevät viivekriittisiä tehtävätyömääriä.
8. Vaatimustenmukaisuuden automaatio: kube-bench, STIG-tarkistukset, jatkuva raportointi
kube-bench suorittaa CIS Benchmark -tarkistuksia jatkuvasti, tulokset kartoitetaan DISA Kubernetes STIG -tarkistustunnuksiin. Epäonnistuneet tarkistukset estävät CI/CD-ylennysten. Trivy/Grype, Checkov ja Polaris täydentävät vaatimustenmukaisuuspinon.
Keskeinen havainto: Vaarallisin vikatila on ajautuminen — klusteri, joka läpäisi kovettamistarkastuksen käyttöönotossa, mutta heikkeni äänettömästi kuuden kuukauden aikana. Kohtele vaatimustenmukaisuusasentoa reaaliaikaisena mittarina. Katso kattava puolustuksen kyberturvallisuusopas ympäröivästä kehyksestä.
Sotilaallisten työmäärien pilviturvallisuus Kubernetesissa on kerrostettu joukko ohjausmenetelmiä — pod-turvallisuus, verkkokäytäntö, Vault, RBAC-kovettaminen, kuvan allekirjoitus, Falco ja jatkuva vaatimustenmukaisuusskannaus — jokainen käsittelee erillistä uhkavektoria, jokainen ylläpidetään jatkuvasti klusterin ja sen työmäärien kehittyessä.