k8s-security-policies

此技能为 Kubernetes 环境提供全面的安全防护框架，专为 DevOps 工程师、平台安全团队及云端架构师设计。它涵盖了 Kubernetes 安全的关键层面，从网络层隔离到集群级的身份管理与存取控制。通过使用此技能，使用者可以确保集群符合合规基准，利用最小权限原则缩小攻击面，并自动化安全配置的实施。

• 通过 NetworkPolicy 实现网络分段，包括预设拒绝所有流量模式及微服务间的精确流量白名单。

• 管理 Pod 安全标准 (PSS)，通过标签与安全内容定义特权、基准与受限命名空间。

• 实现 RBAC，针对服务账户与使用者定义 Role 与 ClusterRole，确保符合最小权限存取原则。

• 利用 OPA Gatekeeper 模板与限制条件促进准入控制，以执行如必要标签等治理策略。

• 整合服务网格 (Service Mesh) 安全设定，使用 Istio PeerAuthentication (mTLS) 与 AuthorizationPolicies。

• 提供以唯读根档案系统与非 root 使用者执行容器的最佳实务建议。

• 包含审核日志与容器镜像定期安全扫描的指导说明。

• 专为需要严格 Pod 间与命名空间隔离的多租户环境设计。

• 本技能假设使用者已具备 Kubernetes 集群存取权，且熟悉 kubectl 指令与 YAML 结构。

• 产出内容包含可直接用于生产环境的 Kubernetes 清单 (Manifests)，以及 OPA/Gatekeeper 或 Istio 的策略定义。