"云原生安全（PSA/网络策略/镜像签名）落地指南"

云原生安全（PSA/网络策略/镜像签名）落地指南概述在Kubernetes中，使用Pod Security Admission（PSA）代替PSP进行安全等级治理，配合NetworkPolicy与镜像签名准入，形成从构建到运行的安全闭环。PSA标签策略apiVersion: v1 kind: Namespace metadata: name: secure-ns labels: pod-security.kubernetes.io/enforce: restricted pod-security.kubernetes.io/audit: restricted pod-security.kubernetes.io/warn: baseline 网络策略隔离apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny namespace: secure-ns spec: podSelector: {} policyTypes: - Ingress - Egress 镜像签名与准入（Cosign/Sigstore）cosign sign --key cosign.key myrepo/app:1.2.3 cosign verify --key cosign.pub myrepo/app:1.2.3 准入控制与RBAC结合准入Webhook验证镜像签名与策略RBAC最小权限，限制ServiceAccount的可用范围运维要点对命名空间应用PSA标签并进行审计与告警默认拒绝网络流量，仅对必要端口与命名空间开放构建阶段进行镜像签名，部署阶段验证与准入通过PSA、网络策略与镜像签名准入，可在云原生环境中实现可验证的安全基线与治理落地。