本文來自Rancher Labs
什么是Pod安全策略?
Kubernetes Pod安全策略(PSP)是Kubernetes安全版塊中極為重要的組件,Pod安全策略是集群級別的資源,用于控制Pod安全相關選項,并且還是一種強化Kubernetes作業負載安全性的機制,Kubernetes平臺團隊或集群運維人員可以利用它來控制pod的創建以及限制特定的用戶、組或應用程式可以使用的功能,
舉個簡單的例子,使用PSP你可以:
-
防止特權Pod啟動并控制特權升級,
-
限制Pod可以訪問的主機命名空間、網路和檔案系統
-
限制可以運行pod的用戶/組,
-
限制Pod可以訪問的Volume
-
限制其他引數,如運行時組態檔或只讀根檔案系統
在本文中,我們將向你展示在Rancher中如何通過啟用一個簡單的Pod安全策略來強化你的Kubernetes安全,
Pod安全策略真的可以增強K8S的安全性嗎?
是的,Pod安全策略確實可以增強Kubernetes的安全性,它提供了Kubernetes原生控制機制,可以防止威脅而不影響性能,這與agent必須攔截主機上的每個動作有所區別,
如果你尚未在集群中啟用PSP(或執行訪問控制之類的等效方法),則Kubernetes用戶可能會生成特權集群,這將會被惡意利用,例如提升特權進而突破容器隔離并訪問其他Pod/服務,
如果沒有限制Pod spec特權的機制,攻擊者可以通過docker命令執行任何操作,例如,運行特權容器、使用節點資源等,
想要快速驗證以上說法,你可以執行以下腳本(千萬不要在生產集群上操作):
? ./kubectl-root-in-host.sh
bash-4.4# whoami
root
bash-4.4# hostname
sudo--alvaro-rancher-rancheragent-0-all
你可以獲得對Kubernetes節點的即時root訪問權限,是不是有點后怕呢?
通過遵循最小特權的概念,你可以安全地在集群中實作PSP,并確保在Kubernetes Pod或作業負載中沒有不需要的權限,除了Kubernetes安全的核心理念外,最小特權原則也是一種通用的安全最佳實踐,同時還是諸如PCI、SOC2或HIPAA等合規性標準的核心要求,
總結一下:
-
PSP將為Pod授予的安全功能提供默認安全約束,該pod可以是集群上任何用戶創建的
-
PSP還能通過滿足特定合規性基準的要求幫助你驗證合規性
最小特權是一個概念,也是一個實踐,可以將用戶、賬號和計算程序的訪問權限限制為僅執行日常合法活動所需要的資源,
在你的集群中啟用Pod安全策略
在Kubernetes中Pod安全策略可以實作為Admission Controller,要在你的集群中啟用PSP,確保PodSecurityPolicy在enable-admission-plugins串列內,作為引數傳遞給你的Kubernetes API配置的引數:
--enable-admission-plugins=...,PodSecurityPolicy
提供托管Kubernetes集群(你無法直接訪問API配置)的云提供商通常會提供高級設定,用戶可以在整個集群范圍內啟用PSP,在其他情況下,你可能需要編輯/etc/kubernetes/manifests/kube-apiserver.yaml檔案,并將其添加到相應的命令引數中,
在Rancher中,你可以在UI上編輯集群來輕松啟用PSP:
你可以選擇默認應用哪個Pod安全策略,在本例中,我們選擇了restricted(受限),
使用一個Admission controller來啟用PSP的好處在于它提供了一個即時預防機制,甚至可以在調度之前停止部署過度特權的Pod,缺點就是你啟用一個PSP之后,每個pod都需要經過PSP的批準,使其部署和過渡更加困難,
Rancher中啟用基本Pod安全策略demo
在這一部分中,我們將逐步演示如何通過Rancher dashboard在集群中啟用Pod安全策略,并在默認情況下使用受限策略,并了解如何防止創建特權Pod,
PSP物件本身是將要應用于pod specs的要求和約束的串列,PSP YAML如下所示:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: example
spec:
allowedCapabilities:
- NET_ADMIN
- IPC_LOCK
allowedHostPaths:
- pathPrefix: /dev
- pathPrefix: /run
- pathPrefix: /
fsGroup:
rule: RunAsAny
hostNetwork: true
seLinux:
rule: RunAsAny
supplementalGroups:
rule: RunAsAny
privileged: true
runAsUser:
rule: RunAsAny
volumes:
- hostPath
- secret
以上PSP有很多允許權限,例如:
-
它允許pod可以與其他Linux功能(如NET_ADMIN和IPC_LOCK)一起運行
-
它允許從主機安裝敏感路徑
-
Pod可以作為特權運行
瀏覽Kubernetes官方檔案可以獲取可用的PSP控制元件及其默認值的完整串列:
https://kubernetes.io/docs/concepts/policy/pod-security-policy/
讓我們來看一個示例,說明如何防止特權Pod在集群中運行,
在集群中啟用PSP之后,請嘗試部署類似的pod:
deploy-not-privileged.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: not-privileged-deploy
name: not-privileged-deploy
spec:
replicas: 1
selector:
matchLabels:
app: not-privileged-deploy
template:
metadata:
labels:
app: not-privileged-deploy
spec:
containers:
- image: alpine
name: alpine
stdin: true
tty: true
securityContext:
runAsUser: 1000
runAsGroup: 1000
它可以立即使用,因為我們告訴Rancher啟用具有受限安全策略的PSP,該策略允許沒有特權的pod正常運行,像上面那樣,
檢查默認PSP中的內容,如下所示:
$ kubectl get psp restricted-psp -o yaml
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
annotations:
serviceaccount.cluster.cattle.io/pod-security: restricted
serviceaccount.cluster.cattle.io/pod-security-version: "1960"
creationTimestamp: "2020-03-04T19:56:10Z"
labels:
cattle.io/creator: norman
name: restricted-psp
resourceVersion: "2686"
selfLink: /apis/policy/v1beta1/podsecuritypolicies/restricted-psp
uid: 40957380-1d44-4e43-9333-91610e3fc079
spec:
allowPrivilegeEscalation: false
fsGroup:
ranges:
- max: 65535
min: 1
rule: MustRunAs
requiredDropCapabilities:
- ALL
runAsUser:
rule: RunAsAny
seLinux:
rule: RunAsAny
supplementalGroups:
ranges:
- max: 65535
min: 1
rule: MustRunAs
volumes:
- configMap
- emptyDir
- projected
- secret
- downwardAPI
- persistentVolumeClaim
或者在Rancher的全域視角檢查,選擇【安全>Pod安全策略】并點擊受限的選項,
該PSP應該允許任何pod,只要它以標準用戶(不是root)身份運行,并且不需要任何特權和特殊功能,
有關PSP和RBAC的其他內容,我們將在以后進行探討,為了簡單起見,加上Rancher已經為你設定了必需的系結,因此我們現在略過這一部分,讓我們嘗試部署一個特權pod,例如來自kubectl-root-in-host.sh腳本的那個pod:
deploy-privileged.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: privileged-deploy
name: privileged-deploy
spec:
replicas: 1
selector:
matchLabels:
app: privileged-deploy
template:
metadata:
labels:
app: privileged-deploy
spec:
containers:
- image: alpine
name: alpine
stdin: true
tty: true
securityContext:
privileged: true
hostPID: true
hostNetwork: true
該pod將不會進入集群
Warning FailedCreate 2s (x12 over 13s) replicaset-controller Error creating: pods "privileged-deploy-7569b9969d-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used spec.securityContext.hostPID: Invalid value: true: Host PID is not allowed to be used spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed]
PodSecurityPolicy admission controller將不允許創建這個pod,因為現有的PSP不允許使用“hostPID”、“hostNetwork” 或 “privileged”,
總結
在本文中我們通過在Rancher環境中啟用一個簡單的Pod安全策略來增強你的Kubernetes安全,通過使用默認的受限PSP,我們確保pod只能在不需要擴展安全權限的情況下運行,最后,我們嘗試部署一個擁有眾多權限的pod,并且失敗了,因為現有的PSP阻止了它被調度到集群上,
Rancher Kubernetes平臺擁有著超過一億次下載量,我們深知安全問題對于用戶而言的重要性,后期我們也將會推出更多與安全相關的內容,幫助Rancher用戶安全、穩妥地落地Kubernetes,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/36613.html
標籤:其他
上一篇:阿里云ECS服務器跨賬號無縫遷移