生产环境零信任：Cilium容器网络安全加固实战指南

为什么传统网络策略在K8s环境失效？

当企业将核心业务迁移至Kubernetes，传统网络安全边界正逐渐瓦解。某电商平台曾因默认允许Pod间通信，导致挖矿程序横向扩散，3小时内感染200+节点。Cilium作为基于eBPF的新一代网络安全平台，通过内核层策略执行和身份感知隔离，重新定义容器环境的安全边界。

读完本文你将掌握：

• 3步实现Pod间零信任隔离
• 主机防火墙与容器策略联动配置
• 审计模式下的策略验证技巧
• 加密通信与流量可视化部署

一、基础安全加固：从禁止默认通信开始

1.1 启用默认拒绝策略

Cilium的默认策略是允许所有流量，这在生产环境中形同虚设。通过以下步骤部署集群级默认拒绝策略：

# 保存为 default-deny.yaml
apiVersion: cilium.io/v2
kind: CiliumClusterwideNetworkPolicy
metadata:
  name: default-deny-all
spec:
  endpointSelector: {}
  ingress:
  - fromEndpoints:
    - {}
  egress:
  - toEndpoints:
    - {}

应用策略：

kubectl apply -f default-deny.yaml

策略文件示例：examples/policies/default-deny.yaml 官方文档：Documentation/security/policy-creation.rst

1.2 实施最小权限原则

使用标签精确匹配允许通信的Pod组，以下是典型的Web服务策略：

apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
  name: frontend-policy
spec:
  endpointSelector:
    matchLabels:
      app: frontend
  ingress:
  - fromEndpoints:
    - matchLabels:
        app: ingress-controller
    toPorts:
    - ports:
      - port: "80"
        protocol: TCP
  egress:
  - toEndpoints:
    - matchLabels:
        app: backend
    toPorts:
    - ports:
      - port: "8080"
        protocol: TCP

二、主机防火墙：防御来自节点的威胁

2.1 启用主机防火墙模块

通过Helm部署时开启主机防护：

helm install cilium cilium/cilium --version 1.14.0 \
  --namespace kube-system \
  --set hostFirewall.enabled=true \
  --set devices='{eth0}'  # 指定需要防护的网络接口

验证部署状态：

kubectl exec -n kube-system ds/cilium -- cilium-dbg status | grep 'Host firewall'
# 预期输出：Host firewall:           Enabled   [eth0]

配置指南：Documentation/security/host-firewall.rst

2.2 限制节点SSH访问

创建仅允许运维网段访问节点SSH的策略：

apiVersion: cilium.io/v2
kind: CiliumClusterwideNetworkPolicy
metadata:
  name: restrict-ssh-access
spec:
  nodeSelector:
    matchLabels:
      node-role.kubernetes.io/worker: ""
  ingress:
  - fromCIDR:
    - 192.168.100.0/24  # 运维网段
    toPorts:
    - ports:
      - port: "22"
        protocol: TCP

三、审计先行：安全策略验证流程

3.1 启用审计模式

在生产环境直接应用新策略风险极高，先通过审计模式观察影响：

# 全局启用审计模式
kubectl patch -n kube-system configmap cilium-config --type merge \
  --patch '{"data":{"policy-audit-mode":"true"}}'
kubectl -n kube-system rollout restart ds/cilium

# 或仅针对特定Endpoint
ENDPOINT_ID=$(kubectl get cep -o jsonpath="{.items[?(@.metadata.name=='backend-7f98c6f')].status.id}")
kubectl exec -n kube-system <cilium-pod-name> -- \
  cilium-dbg endpoint config $ENDPOINT_ID PolicyAuditMode=Enabled

3.2 分析审计日志

使用Hubble观察策略决策：

kubectl exec -n kube-system <cilium-pod-name> -- \
  hubble observe --type policy-verdict --since 1h

典型审计日志示例：

Feb  7 13:43:46.791: default/xwing:54842 <> default/deathstar:80 policy-verdict:none DENIED (TCP Flags: SYN)

审计流程详解：Documentation/security/policy-creation.rst

四、加密传输：启用WireGuard隧道

4.1 配置加密网络

helm upgrade cilium cilium/cilium --namespace kube-system \
  --reuse-values \
  --set ipsec.enabled=true \
  --set ipsec.encryptionAlgorithm=ChaCha20Poly1305

验证加密状态：

kubectl exec -n kube-system ds/cilium -- cilium-dbg ipsec status

加密配置：Documentation/security/index.rst

五、持续监控：安全状态可视化

5.1 部署Hubble UI

helm upgrade cilium cilium/cilium --namespace kube-system \
  --reuse-values \
  --set hubble.enabled=true \
  --set hubble.ui.enabled=true

kubectl port-forward -n kube-system svc/hubble-ui 12000:80

访问 http://localhost:12000 查看实时流量和策略执行情况。

六、生产环境检查清单

配置项	安全要求	验证方法
默认策略	集群级默认拒绝	kubectl get ccnp 检查是否存在default-deny
主机防火墙	仅允许必要端口	cilium-dbg endpoint list 检查主机Endpoint状态
加密	跨节点流量加密	cilium-dbg ipsec status 查看SA状态
审计日志	保留至少7天	检查hubble-relay持久化配置

总结与后续步骤

通过本文介绍的策略配置、主机防护、审计验证和流量加密，你已构建起容器环境的纵深防御体系。下一步建议：

1. 实现策略即代码：将CiliumNetworkPolicy纳入Git版本控制
2. 定期演练：使用混沌工程工具测试策略有效性
3. 关注Cilium安全公告：SECURITY.md

安全加固不是一劳永逸的过程，建议每月Review策略日志，每季度进行安全架构评审。收藏本文，下次安全审计时即可对照执行！