Kubernetes Admission Webhook实践:Validating/Mutating与顺序治理
使用 Admission Webhook 在集群入口进行资源校验与变更,规范执行顺序与失败处理,保障安全与一致性。
"安全"
Kubernetes Ingress/Gateway TLS证书自动续期与信任链治理
使用 cert-manager 管理 TLS 证书签发与自动续期,在 Ingress/Gateway 中配置信任链与兼容策略,保障安全与可用。
Kubernetes Pod Security Admission:Baseline/Restricted治理
使用 PSA 在命名空间级实施容器安全基线,区分 Baseline 与 Restricted,阻断不安全配置与越权。
Kubernetes Secrets与密钥管理:密文、轮换与外部密钥
规范 Kubernetes Secrets 的存储与加密,实施轮换与外部密钥集成,保障集群内的机密安全。
Kubernetes ServiceAccount令牌投射与安全治理
使用投射令牌与受众/TTL控制,在 Pod 内提供短期与特定受众的访问令牌,提升安全与最小权限。
Elasticsearch Painless脚本与安全治理
在 ES 中使用 Painless 脚本进行计算与更新,规范安全与性能限制,避免资源滥用与风险。
LLM输出防护:提示注入、敏感信息与事实核查
通过上下文隔离、输入/输出过滤与引用证据,实现对提示注入与敏感信息泄露的防护,并进行事实核查。
OAuth2 Device Flow与电视登录安全治理
使用设备码授权在受限输入设备上登录,规范轮询与过期、反钓鱼与绑定策略,保障安全与体验。
OAuth2 DPoP与Token绑定:防重放与转发攻击
利用 DPoP 证明将访问令牌与客户端密钥绑定,降低令牌被窃取后的转发与重放风险。
OAuth2 MTLS客户端认证:双向TLS与证书绑定
在 OAuth2 中使用 mTLS 客户端证书绑定令牌与连接,提升高敏接口的身份可信与防转发能力。
