k8s-security-policies

此技能為 Kubernetes 環境提供全面的安全防護框架，專為 DevOps 工程師、平台安全團隊及雲端架構師設計。它涵蓋了 Kubernetes 安全的關鍵層面，從網路層隔離到叢集級的身份管理與存取控制。透過使用此技能，使用者可以確保叢集符合合規基準，利用最小權限原則縮小攻擊面，並自動化安全配置的實施。

• 透過 NetworkPolicy 實作網路分段，包括預設拒絕所有流量模式及微服務間的精確流量白名單。

• 管理 Pod 安全標準 (PSS)，透過標籤與安全內容定義特權、基準與受限命名空間。

• 實作 RBAC，針對服務帳戶與使用者定義 Role 與 ClusterRole，確保符合最小權限存取原則。

• 利用 OPA Gatekeeper 範本與限制條件促進准入控制，以執行如必要標籤等治理策略。

• 整合服務網格 (Service Mesh) 安全設定，使用 Istio PeerAuthentication (mTLS) 與 AuthorizationPolicies。

• 提供以唯讀根檔案系統與非 root 使用者執行容器的最佳實務建議。

• 包含審核日誌與容器映像檔定期安全掃描的指導說明。

• 專為需要嚴格 Pod 間與命名空間隔離的多租戶環境設計。

• 本技能假設使用者已具備 Kubernetes 叢集存取權，且熟悉 kubectl 指令與 YAML 結構。

• 產出內容包含可直接用於生產環境的 Kubernetes 清單 (Manifests)，以及 OPA/Gatekeeper 或 Istio 的策略定義。