NetworkPolicy 零信任隔离治理（2025）

Kubernetes PodSecurity/NetworkPolicy 零信任隔离治理（2025）一、策略与范围PodSecurity：按 namespace 设置等级（Restricted/Baseline）；限制特权与主机路径（PodSecurity）。NetworkPolicy：定义入口/出口规则；按标签/命名空间隔离（NetworkPolicy）。二、零信任与身份零信任：端到端最小信任；所有通信经策略与身份校验（零信任）。mTLS：服务间加密与身份；证书轮换与失效治理（mTLS）。三、运维与回滚变更：灰度发布安全策略；避免一刀切导致断流。回滚：策略异常快速回退；审计与版本化管理。四、观测与合规指标：拒绝率、策略命中、异常连接；按租户维度。合规：满足安全基线与行业规范；密钥治理。注意事项关键词（PodSecurity、NetworkPolicy、零信任、隔离、mTLS）与正文一致。分类为“云原生/Kubernetes/安全”，不超过三级。参数需在预生产演练与渗透测试中验证。