Kubernetes 1.35 安全:7 项颠覆性功能今日发布(DevSecOps 必知)
发布: (2025年12月17日 GMT+8 22:59)
9 min read
原文: Dev.to
看起来您只提供了来源链接,但没有贴出需要翻译的正文内容。请把要翻译的文本(文章正文)粘贴在这里,我会按照要求保留源链接并将内容翻译成简体中文。
Kubernetes v1.35 – 安全聚焦发布 (2025年12月17日)
Kubernetes 1.35 今天刚刚发布,如果你在生产环境运行工作负载,需要特别关注。这不仅是一次普通的增量更新;它内置了大量安全原语,根本改变了我们对工作负载隔离、身份验证和深度防御的思考方式。
从 用户命名空间 达到 默认beta,到 mTLS pod 证书 以及强化的 镜像拉取验证,Kubernetes 1.35 提供了 DevSecOps 团队多年来一直在请求的功能。下面我们来拆解真正重要的内容。
为什么 Kubernetes 1.35 安全性现在很重要
安全形势已经发生了巨大的变化。多租户集群、零信任架构以及供应链攻击迫使 Kubernetes 超越基础的 RBAC 和网络策略进行演进。1.35 版本针对在真实攻击中被利用的漏洞进行了补强:
- 通过共享用户命名空间的容器逃逸
- 从缓存层中未经授权的镜像复用
- 工作负载之间的弱认证
- 对 kubelet 服务证书的冒充攻击
这些并非理论上的漏洞——它们正被积极利用。Kubernetes 1.35 的安全特性为生产团队提供了 即时 所需的缓解措施。
Kubernetes 1.35 中的 7 项关键安全特性
| # | 功能 | 成熟度 | 功能说明 | 重要性 | 快速实现 |
|---|---|---|---|---|---|
| 1 | User Namespaces (KEP‑127) | Beta‑by‑Default | 将容器的 UID 0(root)映射到主机上的非特权 UID。如果容器进程逃逸,它将不具备主机权限。 | 使容器逃逸漏洞(例如 CVE‑2024‑21626、runC 漏洞)更难被利用。 | 在 PodSpec 中设置 hostUsers: false。请先测试存储驱动和 host‑path 挂载。 |
| 2 | mTLS Pod Certificates (KEP‑4317) | Beta | 在 Pod 与 API Server 之间提供一流的 mTLS,消除手动证书管理。 | 简化零信任网络并加速服务网格的采用。 | 启用特性门,让控制平面自动颁发 pod 证书。 |
| 3 | Robust Image Pull Authorization (KEP‑2535) | Beta | 引入 imagePullCredentialsVerificationPolicy,强制 kubelet 即使对已缓存的镜像也重新验证注册表凭证。 | 封堵了一个重大供应链风险,即任何 Pod 都可能在没有正确拉取凭证的情况下使用缓存镜像。 | 将该策略添加到 kubelet 配置中;在更新之前,缓存镜像的工作流可能会中断。 |
| 4 | Hardened Kubelet Certificate Validation (KEP‑4872) | Alpha | API Server 验证 kubelet 的服务证书 CN 是否匹配 system:node:。 | 防止节点冒充的中间人攻击。 | 启用 alpha 特性门并验证节点证书。 |
| 5 | Constrained Impersonation (KEP‑5284) | Alpha | 即使在冒充其他身份时,用户也不能执行其自身未获授权的操作。 | 阻止通过调试/代理工作流冒充高权限 ServiceAccount 而导致的特权提升。 | 启用 alpha 特性门并在 RBAC 中审计 impersonate 动作。 |
| 6 | User Namespaces for HostNetwork Pods (KEP‑5607) | Alpha | 允许 hostNetwork: true 的 Pod 仍保持 hostUsers: false。 | 使需要主机网络访问的工作负载(如 CNI 插件、监控代理)在不获取主机 root 权限的情况下运行。 | 启用 alpha 特性门,并在使用 host‑network 的 Pod 上设置 hostUsers: false。 |
| 7 | CSI ServiceAccount Tokens via Secrets (KEP‑5538) | Alpha | 将 CSI 驱动的 ServiceAccount 令牌从 volumeContext 移动到专用的 secrets 字段。 | 将敏感凭证与非敏感元数据分离,降低意外泄漏的风险。 | 启用 alpha 特性门,并相应更新 CSI 驱动的清单。 |
DevSecOps 团队现在应该做的事
不要等到下一个季度升级周期。 这里有一个可操作的计划:
- 在预发布环境测试用户命名空间:
监控存储/权限问题。securityContext: hostUsers: false - 启用强大的镜像拉取授权:
在 kubelet 配置中添加imagePullCredentialsVerificationPolicy。预期缓存镜像工作流会中断——先进行测试。 - 审计冒充 RBAC:
检查谁拥有impersonate动作。过度授权的调试工作流需要在受限冒充功能上线前收紧。 - 评估用于服务网格迁移的 mTLS Pod 证书:
如果证书复杂性导致网格采纳延迟,KEP‑4317 已经移除该阻碍。 - 审查 Alpha 功能采纳策略:
像 kubelet 证书验证和受限冒充等功能仍处于 alpha 阶段。决定你的风险容忍度是否允许提前测试。
常见问题 – Kubernetes 1.35 安全
| Question | Answer |
|---|---|
| 我应该立即在生产环境中启用所有 7 项安全功能吗? | 不。 用户命名空间(beta)和 mTLS pod 证书(beta)是目前在生产环境中最安全的选择。Alpha 级功能应保持在预发布环境,直到它们进入 beta。 |
| 用户命名空间能与所有存储驱动一起使用吗? | 尚未完全支持。部分 CSI 驱动和 hostPath 挂载存在问题。请在推广前进行充分测试。 |
| 强大的镜像拉取授权会破坏我的 CI/CD 流水线吗? | 可能会,如果你的流水线依赖于未提供正确注册表凭据的缓存镜像。这实际上是一个安全漏洞,需要修复。 |
| 这些 alpha 功能何时会达到 stable? | 根据历史经验,预计在 Kubernetes 1.36/1.37(2026 年中期)进入 alpha → beta,并在 2026 年底或 2027 年初进入 beta → stable。 |
底线
Kubernetes 1.35 不仅仅是一次普通的版本升级——它是一次 安全分水岭。用户命名空间进入 beta 阶段、mTLS Pod 证书以及强大的镜像拉取授权,针对多年来困扰生产集群的真实攻击向量提供了解决方案。
信息: Kubernetes 的安全性正从基础的 RBAC 和网络策略向更高层次成熟。深度防御正逐步成为平台原生能力。
立即开始测试这些 beta 功能,规划后续的 alpha 功能,让你的集群始终走在威胁前沿。
# Kubernetes 1.35 Security Features: Proactive Hardening
*“Security isn’t a bolt‑on; it’s built into the platform.”*
DevSecOps teams have two choices:
1. **Start testing these features in staging today**, or
2. **Explain to your CISO in six months** why your cluster's security posture is falling behind industry standards.
The tooling is here. The vulnerabilities are known. The only question is whether you'll adopt these hardening measures **proactively** or **reactively after an incident**.
---行动计划
- 升级到 Kubernetes 1.35。
- 测试在预发布环境中的新安全功能。
- 加固您的集群,根据测试结果。
- 重复循环,持续进行。
入门
- 审计您当前的安全姿态。
- 识别哪些功能能为您的特定威胁模型提供最高的风险降低。
- 在生产环境中实施所选功能。
安全不是一个复选框——它是持续的演进。
保持更新
关注获取更多:
- Kubernetes 安全洞察
- DevOps 最佳实践
- 云基础设施深度剖析