以某IDaaS系统为例，我们把一个云原生系统安全模型分为 4 个层面，由外至内分别是：云/数据中心/网络层、集群层、容器层、代码层，如下图所示：
 
 
 
对于这里安全模型的每一层，都是单向依赖于外层的。也就是说，外层的云、集群、容器安全如果做得好，代码层的安全就可以受益，而反过来，我们是无法通过提高代码层的安全性来弥补外层中存在的安全漏洞或问题。基于上述这一点原理，我们的纵深防御策略是「自外而内」地进行“设防”。
 
一、云/数据中心/网络层安全
 
这一层也可以称之为基础设施安全，不管从何角度，公有或私有云或企业数据中心以及对应的网络安全，是 K8s 集群最根本的安全基础，如果这一层存在安全漏洞或者过于脆弱，则整个系统都不能在此基础上保证组件的安全。
 
我们除了需要防御传统的攻击，如 ARP 伪装、ddos、网络层各类报文等攻击，应该针对 Kubernetes 集群采取以下保护措施：
 
不允许在 Internet 上公开对 Kubernetes 管理平台(Control Plane)的所有访问，同时仅开放部分可信 IP 可以访问 Kubernetes 管理 API。
所有节点只暴露指定的端口，包括对管理平台的内部端口和来自 NodePort 和 LoadBalancer 类型的 Kubernetes 服务的连接，并且不应该直接暴露到 Internet。