从漏洞到加密劫持，再到更多的加密劫持，整个2019年都有大量的安全事件让容器用户保持警觉。随着Kubernetes被用于管理大多数基于容器的环境（以及越来越多的混合环境），Forrester Research在其2020年的预测中提出"在日益混合的云世界中保护应用程序和数据"的需求也就不足为奇了，我们希望您的容器得到很好的保护，无论您是运行在云与谷歌Kubernetes引擎或混合与Anthos，并为您了解容器安全。在我们开始2020年之际，返利宝，这里有一些关于如何保护您的Kubernetes环境的建议，以及GKE最近的功能和资源的细分。

只运行您信任的东西，从硬件到服务

我们在2019年看到的许多漏洞通过另一个过度信任的组件损害了集装箱供应链或提升了特权。重要的是你要相信你所运行的，并且你要对你的容器应用纵深防御原则。为了帮助您做到这一点，大数据分析培训课程，屏蔽GKE节点现在普遍可用，紧接着将推出Workload Identity（工作负载标识），这是一种向其他Google云服务验证GKE应用程序的方法，遵循最佳实践安全原则，如深度防御。

让我们更深入地了解这些功能。

屏蔽GKE节点屏蔽GKE节点确保在您的系统中运行的节点集群是Google数据中心中经过验证的节点。通过将屏蔽vm的概念扩展到GKE节点，屏蔽GKE节点在两个方面提高了基线GKE安全性：

您现在可以在创建新集群或升级现有集群时打开这些屏蔽GKE节点保护。有关更多信息，请阅读文档。

工作负载标识您的GKE应用程序可能使用其他服务（如数据仓库）来完成其工作。例如，按照"仅运行您信任的内容"的思路，当应用程序与数据仓库交互时，该仓库将要求对您的应用程序进行身份验证。从历史上看，这样做的方法并不符合安全原则，它们过于宽容，或者如果受到危害，就有可能产生较大的爆炸半径。

工作负载标识有助于遵循最小特权原则，并通过一个谷歌托管服务帐户，具有短期凭据。在beta-launch博客和文档中了解有关工作负载标识的更多信息。我们将很快推出工作负载标识的通用性。

对您不信任的工作负载提供更强大的安全性，但有时，大数据课程，您无法自信地保证您正在运行的工作负载。例如，应用程序可能使用源于组织外部的代码，或者可能是从未知用户接收输入的软件即服务（SaaS）应用程序。对于这些不受信任的工作负载，工作负载和主机资源之间的第二层隔离是遵循深度防御安全原则的一部分。为了帮助您做到这一点，我们发布了GKE Sandbox的通用性。

GKE SandboxGKE Sandbox使用开源容器运行时gVisor以额外的隔离层运行容器，而不需要您更改应用程序或与容器交互的方式。gVisor使用用户空间内核来拦截和处理系统调用，hadoop大数据，减少了容器和主机之间的直接交互，从而减少了攻击面。但是，作为一个托管服务，GKE Sandbox抽象了这些内部构件，为您提供了多个保护层的单步简单性。开始使用GKE Sandbox.

提高您的容器安全知识

随着越来越多的公司使用容器和Kubernetes使其应用程序现代化，决策者和商业领袖需要了解他们如何应用于他们的业务，以及他们将如何帮助他们保持安全。

集装箱安全的核心概念专为不熟悉集装箱和Kubernetes的读者编写，为什么容器安全对您的业务很重要，这将带您了解容器安全的核心概念，例如供应链和运行时安全。无论您是自己运行Kubernetes，物联网大会，还是通过GKE或Anthos等托管服务运行Kubernetes，本白皮书都将帮助您将Kubernetes等开源软件如何应对漏洞以及这对您的组织意味着什么联系起来。

新的GKE多租户最佳实践指南多租户，当租户之间共享一个或多个集群时，通常作为一种节省成本或提高生产率的机制来实现。然而，错误地将集群配置为具有多个租户或相应的计算或存储资源，不仅会拒绝这些成本节约，而且会使组织受到各种攻击。我们刚刚发布了一个新的指南GKE Enterprise Multi-tenancy Best Practices，该指南指导您如何建立多租户集群，并着眼于可靠性、安全性和监控。阅读新指南，查看相应的Terraform模块，并提高您的多租户安全性。

了解Google如何在内部实现云本地安全，就像行业正在从基于单片应用程序的架构过渡到分布式"云本地"微服务一样，谷歌也开始了从基于外围安全到云本地安全的旅程。

在两份新白皮书中，我们发布了关于我们如何在内部做到这一点的详细信息，包括云本地安全背后的安全原则。了解更多关于BeyondProd的信息，Google的云本地安全模型；以及关于Borg的二进制授权，它讨论了我们如何确保代码来源和使用代码标识。

让2020年成为您的容器安全年