集群： 1. 使用CIS Benchmarks审查组件安全配置（常见软件 kube-Bench） 2. 宿主机Node 操作系统内核安全增强工具（AppAmor， seccomp） 容器： 1. 容器镜像安全扫描（Clair， Trivy） 2. 容器运行时runtimeClass安全（Kata， gVisor） 3. 静态分析工作负载（kubernetes 资源及docker file） （kubesec） 4. 容器内syscall行为监控（Strace， Falco） 当然以上只是常见的第三方软件工具，kubernetes自身也有许多保证安全的组件和机制，比如RBAC，PodSecurityPolicy，Audit Logging，利用OPA及admission机制保证供应链安全等等。