في بيئة الحاويات، من الخطر السماح لكل حاوية بالاتصال بالإنترنت مباشرة. قد تقوم مكتبة خبيثة (Malicious Package) داخل حاوية بفتح اتصال عكسي (Reverse Shell) للمهاجم.
القائمة البيضاء الصارمة (Strict Whitelisting)
يجب توجيه كل حركة مرور الحاويات عبر Egress Proxy يطبق سياسة "المنع الافتراضي". اسمح فقط بالوصول لمستودعات الحزم الموثوقة (مثل npmjs.org, pypi.org) ومستودعات الكود الخاصة بك.
فحص الصور (Image Scanning Proxy)
يمكن إعداد بروكسي خاص يمر عبره طلب سحب الصور (docker pull). يقوم البروكسي بفحص الصورة بحثاً عن ثغرات أمنية قبل السماح بدخولها إلى عنقود Kubernetes الخاص بك.
عزل المستأجرين (Tenant Isolation)
في البيئات متعددة المستأجرين، يضمن البروكسي عدم قدرة حاويات العميل "أ" على التحدث مع خدمات العميل "ب" أو استهلاك حصته من النطاق العريض.