Рубрики
Uncategorized

CKAD — Замечания безопасности

Для выполнения любых действий в кластере Kubernetes нам нужно получить доступ к API и пройти через три основных шага … с меткой Kubernetes, DevOps, Linux, Docker.

Для выполнения любых действий в кластере Kubernetes нам нужно получить доступ к API и пройти через три основных этапа:

  • Аутентификация
  • Авторизация (RBAC или ABAC)
  • Контроль вступления

Смотрите Официальная документация Больше подробностей:

Аутентификация

  • Аутентификация выполняется с сертификатами, токенами или основными авторизаторами
  • Пользователи не создается API и должна управляться внешней системой
  • Сервисные счета используются процессами для доступа к API (Учетная запись услуг обеспечивает идентичность для процессов, чем запускается в POD)

Авторизация

После аутентификации запроса он должен быть авторизован, чтобы иметь возможность проходить через систему Kubernetes. Есть три основных режима авторизации:

  • ABAC (контроль доступа на основе атрибута)
  • RBAC (контроль доступа на основе ролей)
  • Webhook.

Контроллер вступления

Доступ к содержимому объекты, создаваемые запросами. Он может изменить содержимое или подтвердить его и потенциально отрицать запрос.

Контекст безопасности определяет привилегию и настройки контроля доступа для POD или контейнера, поэтому мы можем ограничить, какие процессы могут выполняться в контейнерах. Например, мы можем ограничить:

  • Идентификатор пользователя процесса (UID)
  • возможности Linux
  • Группы файловой системы

Если мы хотим применять, что контейнеры не могут запускать свой процесс как пользователь root, мы можем добавить Runasnonroot: правда на спектр POD. Или мы можем определить подсекуриеpolicy к этому эффекту.

Чтобы автоматизировать исполнение контекстов безопасности, мы можем определить Подсекуриесполисты (PSP)

Политики безопасности POD являются правилами уровня кластера, которые управляют тем, что может сделать POD, что они могут получить доступ, каким пользователем они работают как …

Для включения PSP мы должны сначала настроить контроллер приема Контроллер-менеджер содержать Подсеканиеpolicy Отказ

Сетевая политика — это спецификация того, как группы стручков разрешено общаться друг с другом и другими конечными точками сети.

NetworkPolicy Resources Используйте этикетки для выбора PODS и определить правила, которые указывают, какой трафик разрешен для выбранных стручков.

Оригинал: «https://dev.to/boncheff/ckad-security-notes-4g0a»

Читайте ещё по теме: