Container dan Kubernetes menjadi standar deployment modern. Pelajari cara mengamankan workload containerized dari ancaman keamanan.
Risiko Keamanan Container
Container membawa paradigma baru dalam deployment, namun juga memperkenalkan ancaman keamanan yang unik seperti container escape, image vulnerability, dan misconfiguration.
Image Security
- Gunakan base image minimal (Alpine, Distroless)
- Scan image dengan Trivy, Grype, atau Snyk Container
- Jangan jalankan container sebagai root
- Multi-stage build untuk mengurangi attack surface
- Pin versi base image (jangan gunakan :latest)
Kubernetes Security Best Practices
- RBAC: Konfigurasi Role-Based Access Control yang ketat
- Network Policies: Batasi komunikasi antar pod
- Pod Security Standards: Enforce restricted policy
- Secrets Management: Gunakan External Secrets Operator atau Vault
- Admission Controllers: OPA Gatekeeper atau Kyverno
- Runtime Security: Falco untuk deteksi anomali runtime
- etcd Encryption: Enkripsi secrets at rest
Supply Chain untuk Container
Implementasi image signing dengan Cosign/Sigstore, gunakan private registry, dan scan image di CI/CD pipeline sebelum deployment.
Tools Keamanan Kubernetes
kube-bench (CIS benchmark), kubeaudit, kube-hunter, Falco (runtime), Cilium (network security), dan cert-manager (TLS automation).