中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何使用Pod安全策略強化K8S安全

發布時間:2021-11-10 16:23:57 來源:億速云 閱讀:123 作者:柒染 欄目:云計算

如何使用Pod安全策略強化K8S安全,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

什么是Pod安全策略?

Kubernetes Pod安全策略(PSP)是Kubernetes安全版塊中極為重要的組件。Pod安全策略是集群級別的資源,用于控制Pod安全相關選項,并且還是一種強化Kubernetes工作負載安全性的機制。Kubernetes平臺團隊或集群運維人員可以利用它來控制pod的創建以及限制特定的用戶、組或應用程序可以使用的功能。

舉個簡單的例子,使用PSP你可以:

  • 防止特權Pod啟動并控制特權升級。

  • 限制Pod可以訪問的主機命名空間、網絡和文件系統

  • 限制可以運行pod的用戶/組。

  • 限制Pod可以訪問的Volume

  • 限制其他參數,如運行時配置文件或只讀根文件系統

在本文中,我們將向你展示在Rancher中如何通過啟用一個簡單的Pod安全策略來強化你的Kubernetes安全。

Pod安全策略真的可以增強K8S的安全性嗎?

是的,Pod安全策略確實可以增強Kubernetes的安全性。它提供了Kubernetes原生控制機制,可以防止威脅而不影響性能,這與agent必須攔截主機上的每個動作有所區別。

如果你尚未在集群中啟用PSP(或執行訪問控制之類的等效方法),則Kubernetes用戶可能會生成特權集群。這將會被惡意利用,例如提升特權進而突破容器隔離并訪問其他Pod/服務。

如果沒有限制Pod spec特權的機制,攻擊者可以通過docker命令執行任何操作,例如,運行特權容器、使用節點資源等。

想要快速驗證以上說法,你可以執行以下腳本(千萬不要在生產集群上操作):

? ./kubectl-root-in-host.sh
bash-4.4# whoami
root
bash-4.4# hostname
sudo--alvaro-rancher-rancheragent-0-all

你可以獲得對Kubernetes節點的即時root訪問權限。是不是有點后怕呢?

通過遵循最小特權的概念,你可以安全地在集群中實現PSP,并確保在Kubernetes Pod或工作負載中沒有不需要的權限。除了Kubernetes安全的核心理念外,最小特權原則也是一種通用的安全最佳實踐,同時還是諸如PCI、SOC2或HIPAA等合規性標準的核心要求。

總結一下:

  • PSP將為Pod授予的安全功能提供默認安全約束,該pod可以是集群上任何用戶創建的

  • PSP還能通過滿足特定合規性基準的要求幫助你驗證合規性

最小特權是一個概念,也是一個實踐,可以將用戶、賬號和計算過程的訪問權限限制為僅執行日常合法活動所需要的資源。

在你的集群中啟用Pod安全策略

在Kubernetes中Pod安全策略可以實現為Admission Controller。要在你的集群中啟用PSP,確保PodSecurityPolicyenable-admission-plugins列表內,作為參數傳遞給你的Kubernetes API配置的參數:

--enable-admission-plugins=...,PodSecurityPolicy

提供托管Kubernetes集群(你無法直接訪問API配置)的云提供商通常會提供高級設置,用戶可以在整個集群范圍內啟用PSP。在其他情況下,你可能需要編輯/etc/kubernetes/manifests/kube-apiserver.yaml文件,并將其添加到相應的命令參數中。

在Rancher中,你可以在UI上編輯集群來輕松啟用PSP:

如何使用Pod安全策略強化K8S安全

你可以選擇默認應用哪個Pod安全策略。在本例中,我們選擇了restricted(受限)。

使用一個Admission controller來啟用PSP的好處在于它提供了一個即時預防機制,甚至可以在調度之前停止部署過度特權的Pod。缺點就是你啟用一個PSP之后,每個pod都需要經過PSP的批準,使其部署和過渡更加困難。

Rancher中啟用基本Pod安全策略demo

在這一部分中,我們將逐步演示如何通過Rancher dashboard在集群中啟用Pod安全策略,并在默認情況下使用受限策略,并了解如何防止創建特權Pod。

PSP對象本身是將要應用于pod specs的要求和約束的列表。PSP YAML如下所示:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: example
spec:
  allowedCapabilities:
    - NET_ADMIN
    - IPC_LOCK
  allowedHostPaths:
    - pathPrefix: /dev
    - pathPrefix: /run
    - pathPrefix: /
  fsGroup:
    rule: RunAsAny
  hostNetwork: true
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  privileged: true
  runAsUser:
    rule: RunAsAny
  volumes:
    - hostPath
    - secret

以上PSP有很多允許權限,例如:

  • 它允許pod可以與其他Linux功能(如NET_ADMIN和IPC_LOCK)一起運行

  • 它允許從主機安裝敏感路徑

  • Pod可以作為特權運行

瀏覽Kubernetes官方文檔可以獲取可用的PSP控件及其默認值的完整列表:

https://kubernetes.io/docs/concepts/policy/pod-security-policy/

讓我們來看一個示例,說明如何防止特權Pod在集群中運行。

在集群中啟用PSP之后,請嘗試部署類似的pod:

deploy-not-privileged.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: not-privileged-deploy
  name: not-privileged-deploy
spec:
  replicas: 1
  selector:
    matchLabels:
      app: not-privileged-deploy
  template:
    metadata:
      labels:
        app: not-privileged-deploy
    spec:
      containers:
        - image: alpine
          name: alpine
          stdin: true
          tty: true
          securityContext:
            runAsUser: 1000
            runAsGroup: 1000

它可以立即使用,因為我們告訴Rancher啟用具有受限安全策略的PSP,該策略允許沒有特權的pod正常運行,像上面那樣。

檢查默認PSP中的內容,如下所示:

$ kubectl get psp restricted-psp -o yaml

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  annotations:
    serviceaccount.cluster.cattle.io/pod-security: restricted
    serviceaccount.cluster.cattle.io/pod-security-version: "1960"
  creationTimestamp: "2020-03-04T19:56:10Z"
  labels:
    cattle.io/creator: norman
  name: restricted-psp
  resourceVersion: "2686"
  selfLink: /apis/policy/v1beta1/podsecuritypolicies/restricted-psp
  uid: 40957380-1d44-4e43-9333-91610e3fc079
spec:
  allowPrivilegeEscalation: false
  fsGroup:
    ranges:
      - max: 65535
        min: 1
    rule: MustRunAs
  requiredDropCapabilities:
    - ALL
  runAsUser:
    rule: RunAsAny
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    ranges:
      - max: 65535
        min: 1
    rule: MustRunAs
  volumes:
    - configMap
    - emptyDir
    - projected
    - secret
    - downwardAPI
    - persistentVolumeClaim

或者在Rancher的全局視角檢查。選擇【安全>Pod安全策略】并點擊受限的選項。

如何使用Pod安全策略強化K8S安全

該PSP應該允許任何pod,只要它以標準用戶(不是root)身份運行,并且不需要任何特權和特殊功能。

有關PSP和RBAC的其他內容,我們將在以后進行探討。為了簡單起見,加上Rancher已經為你設置了必需的綁定,因此我們現在略過這一部分。讓我們嘗試部署一個特權pod,例如來自kubectl-root-in-host.sh腳本的那個pod:

deploy-privileged.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: privileged-deploy
  name: privileged-deploy
spec:
  replicas: 1
  selector:
    matchLabels:
      app: privileged-deploy
  template:
    metadata:
      labels:
        app: privileged-deploy
    spec:
      containers:
        - image: alpine
          name: alpine
          stdin: true
          tty: true
          securityContext:
            privileged: true
      hostPID: true
      hostNetwork: true

該pod將不會進入集群

 Warning  FailedCreate  2s (x12 over 13s)  replicaset-controller  Error creating: pods "privileged-deploy-7569b9969d-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used spec.securityContext.hostPID: Invalid value: true: Host PID is not allowed to be used spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed]

PodSecurityPolicy admission controller將不允許創建這個pod,因為現有的PSP不允許使用“hostPID”、“hostNetwork” 或 “privileged”。

在本文中我們通過在Rancher環境中啟用一個簡單的Pod安全策略來增強你的Kubernetes安全。通過使用默認的受限PSP,我們確保pod只能在不需要擴展安全權限的情況下運行。最后,我們嘗試部署一個擁有眾多權限的pod,并且失敗了,因為現有的PSP阻止了它被調度到集群上。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

吉木萨尔县| 克山县| 四会市| 稷山县| 新营市| 武功县| 新沂市| 张掖市| 河南省| 左贡县| 阳城县| 云霄县| 江津市| 疏附县| 静海县| 龙泉市| 嫩江县| 习水县| 田阳县| 永川市| 沅江市| 淮滨县| 黑水县| 陆丰市| 清流县| 卫辉市| 呼和浩特市| 手游| 青神县| 临澧县| 漯河市| 盐城市| 斗六市| 苍梧县| 明水县| 南丹县| 齐齐哈尔市| 稻城县| 西宁市| 扶余县| 澄江县|