溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
如何使用Pod安全策略強化K8S安全,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。
Kubernetes Pod安全策略(PSP)是Kubernetes安全版塊中極為重要的組件。Pod安全策略是集群級別的資源,用于控制Pod安全相關選項,并且還是一種強化Kubernetes工作負載安全性的機制。Kubernetes平臺團隊或集群運維人員可以利用它來控制pod的創建以及限制特定的用戶、組或應用程序可以使用的功能。
舉個簡單的例子,使用PSP你可以:
防止特權Pod啟動并控制特權升級。
限制Pod可以訪問的主機命名空間、網絡和文件系統
限制可以運行pod的用戶/組。
限制Pod可以訪問的Volume
限制其他參數,如運行時配置文件或只讀根文件系統
在本文中,我們將向你展示在Rancher中如何通過啟用一個簡單的Pod安全策略來強化你的Kubernetes安全。
是的,Pod安全策略確實可以增強Kubernetes的安全性。它提供了Kubernetes原生控制機制,可以防止威脅而不影響性能,這與agent必須攔截主機上的每個動作有所區別。
如果你尚未在集群中啟用PSP(或執行訪問控制之類的等效方法),則Kubernetes用戶可能會生成特權集群。這將會被惡意利用,例如提升特權進而突破容器隔離并訪問其他Pod/服務。
如果沒有限制Pod spec特權的機制,攻擊者可以通過docker命令執行任何操作,例如,運行特權容器、使用節點資源等。
想要快速驗證以上說法,你可以執行以下腳本(千萬不要在生產集群上操作):
? ./kubectl-root-in-host.sh bash-4.4# whoami root bash-4.4# hostname sudo--alvaro-rancher-rancheragent-0-all
你可以獲得對Kubernetes節點的即時root訪問權限。是不是有點后怕呢?
通過遵循最小特權的概念,你可以安全地在集群中實現PSP,并確保在Kubernetes Pod或工作負載中沒有不需要的權限。除了Kubernetes安全的核心理念外,最小特權原則也是一種通用的安全最佳實踐,同時還是諸如PCI、SOC2或HIPAA等合規性標準的核心要求。
總結一下:
PSP將為Pod授予的安全功能提供默認安全約束,該pod可以是集群上任何用戶創建的
PSP還能通過滿足特定合規性基準的要求幫助你驗證合規性
最小特權是一個概念,也是一個實踐,可以將用戶、賬號和計算過程的訪問權限限制為僅執行日常合法活動所需要的資源。
在Kubernetes中Pod安全策略可以實現為Admission Controller。要在你的集群中啟用PSP,確保PodSecurityPolicy在enable-admission-plugins列表內,作為參數傳遞給你的Kubernetes API配置的參數:
--enable-admission-plugins=...,PodSecurityPolicy
提供托管Kubernetes集群(你無法直接訪問API配置)的云提供商通常會提供高級設置,用戶可以在整個集群范圍內啟用PSP。在其他情況下,你可能需要編輯/etc/kubernetes/manifests/kube-apiserver.yaml文件,并將其添加到相應的命令參數中。
在Rancher中,你可以在UI上編輯集群來輕松啟用PSP:
你可以選擇默認應用哪個Pod安全策略。在本例中,我們選擇了restricted(受限)。
使用一個Admission controller來啟用PSP的好處在于它提供了一個即時預防機制,甚至可以在調度之前停止部署過度特權的Pod。缺點就是你啟用一個PSP之后,每個pod都需要經過PSP的批準,使其部署和過渡更加困難。
在這一部分中,我們將逐步演示如何通過Rancher dashboard在集群中啟用Pod安全策略,并在默認情況下使用受限策略,并了解如何防止創建特權Pod。
PSP對象本身是將要應用于pod specs的要求和約束的列表。PSP YAML如下所示:
apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: example spec: allowedCapabilities: - NET_ADMIN - IPC_LOCK allowedHostPaths: - pathPrefix: /dev - pathPrefix: /run - pathPrefix: / fsGroup: rule: RunAsAny hostNetwork: true seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny privileged: true runAsUser: rule: RunAsAny volumes: - hostPath - secret
以上PSP有很多允許權限,例如:
它允許pod可以與其他Linux功能(如NET_ADMIN和IPC_LOCK)一起運行
它允許從主機安裝敏感路徑
Pod可以作為特權運行
瀏覽Kubernetes官方文檔可以獲取可用的PSP控件及其默認值的完整列表:
https://kubernetes.io/docs/concepts/policy/pod-security-policy/
讓我們來看一個示例,說明如何防止特權Pod在集群中運行。
在集群中啟用PSP之后,請嘗試部署類似的pod:
deploy-not-privileged.yaml
apiVersion: apps/v1 kind: Deployment metadata: labels: app: not-privileged-deploy name: not-privileged-deploy spec: replicas: 1 selector: matchLabels: app: not-privileged-deploy template: metadata: labels: app: not-privileged-deploy spec: containers: - image: alpine name: alpine stdin: true tty: true securityContext: runAsUser: 1000 runAsGroup: 1000
它可以立即使用,因為我們告訴Rancher啟用具有受限安全策略的PSP,該策略允許沒有特權的pod正常運行,像上面那樣。
檢查默認PSP中的內容,如下所示:
$ kubectl get psp restricted-psp -o yaml
apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: annotations: serviceaccount.cluster.cattle.io/pod-security: restricted serviceaccount.cluster.cattle.io/pod-security-version: "1960" creationTimestamp: "2020-03-04T19:56:10Z" labels: cattle.io/creator: norman name: restricted-psp resourceVersion: "2686" selfLink: /apis/policy/v1beta1/podsecuritypolicies/restricted-psp uid: 40957380-1d44-4e43-9333-91610e3fc079 spec: allowPrivilegeEscalation: false fsGroup: ranges: - max: 65535 min: 1 rule: MustRunAs requiredDropCapabilities: - ALL runAsUser: rule: RunAsAny seLinux: rule: RunAsAny supplementalGroups: ranges: - max: 65535 min: 1 rule: MustRunAs volumes: - configMap - emptyDir - projected - secret - downwardAPI - persistentVolumeClaim
或者在Rancher的全局視角檢查。選擇【安全>Pod安全策略】并點擊受限的選項。
該PSP應該允許任何pod,只要它以標準用戶(不是root)身份運行,并且不需要任何特權和特殊功能。
有關PSP和RBAC的其他內容,我們將在以后進行探討。為了簡單起見,加上Rancher已經為你設置了必需的綁定,因此我們現在略過這一部分。讓我們嘗試部署一個特權pod,例如來自kubectl-root-in-host.sh腳本的那個pod:
deploy-privileged.yaml
apiVersion: apps/v1 kind: Deployment metadata: labels: app: privileged-deploy name: privileged-deploy spec: replicas: 1 selector: matchLabels: app: privileged-deploy template: metadata: labels: app: privileged-deploy spec: containers: - image: alpine name: alpine stdin: true tty: true securityContext: privileged: true hostPID: true hostNetwork: true
該pod將不會進入集群
Warning FailedCreate 2s (x12 over 13s) replicaset-controller Error creating: pods "privileged-deploy-7569b9969d-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used spec.securityContext.hostPID: Invalid value: true: Host PID is not allowed to be used spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed]
PodSecurityPolicy admission controller將不允許創建這個pod,因為現有的PSP不允許使用“hostPID”、“hostNetwork” 或 “privileged”。
在本文中我們通過在Rancher環境中啟用一個簡單的Pod安全策略來增強你的Kubernetes安全。通過使用默認的受限PSP,我們確保pod只能在不需要擴展安全權限的情況下運行。最后,我們嘗試部署一個擁有眾多權限的pod,并且失敗了,因為現有的PSP阻止了它被調度到集群上。
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
