如何使用Pod安全策略強化K8S安全

如何使用Pod安全策略強化K8S安全，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

創(chuàng)新互聯(lián)建站是一家集網(wǎng)站建設,長汀企業(yè)網(wǎng)站建設,長汀品牌網(wǎng)站建設,網(wǎng)站定制,長汀網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,長汀網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

什么是Pod安全策略？

Kubernetes Pod安全策略（PSP）是Kubernetes安全版塊中極為重要的組件。Pod安全策略是集群級別的資源，用于控制Pod安全相關選項，并且還是一種強化Kubernetes工作負載安全性的機制。Kubernetes平臺團隊或集群運維人員可以利用它來控制pod的創(chuàng)建以及限制特定的用戶、組或應用程序可以使用的功能。

舉個簡單的例子，使用PSP你可以：

• 防止特權Pod啟動并控制特權升級。

• 限制Pod可以訪問的主機命名空間、網(wǎng)絡和文件系統(tǒng)

• 限制可以運行pod的用戶/組。

• 限制Pod可以訪問的Volume

• 限制其他參數(shù)，如運行時配置文件或只讀根文件系統(tǒng)

在本文中，我們將向你展示在Rancher中如何通過啟用一個簡單的Pod安全策略來強化你的Kubernetes安全。

Pod安全策略真的可以增強K8S的安全性嗎？

是的，Pod安全策略確實可以增強Kubernetes的安全性。它提供了Kubernetes原生控制機制，可以防止威脅而不影響性能，這與agent必須攔截主機上的每個動作有所區(qū)別。

如果你尚未在集群中啟用PSP（或執(zhí)行訪問控制之類的等效方法），則Kubernetes用戶可能會生成特權集群。這將會被惡意利用，例如提升特權進而突破容器隔離并訪問其他Pod/服務。

如果沒有限制Pod spec特權的機制，攻擊者可以通過docker命令執(zhí)行任何操作，例如，運行特權容器、使用節(jié)點資源等。

想要快速驗證以上說法，你可以執(zhí)行以下腳本（千萬不要在生產(chǎn)集群上操作）：

? ./kubectl-root-in-host.sh
bash-4.4# whoami
root
bash-4.4# hostname
sudo--alvaro-rancher-rancheragent-0-all

你可以獲得對Kubernetes節(jié)點的即時root訪問權限。是不是有點后怕呢？

通過遵循最小特權的概念，你可以安全地在集群中實現(xiàn)PSP，并確保在Kubernetes Pod或工作負載中沒有不需要的權限。除了Kubernetes安全的核心理念外，最小特權原則也是一種通用的安全最佳實踐，同時還是諸如PCI、SOC2或HIPAA等合規(guī)性標準的核心要求。

總結一下：

• PSP將為Pod授予的安全功能提供默認安全約束，該pod可以是集群上任何用戶創(chuàng)建的

• PSP還能通過滿足特定合規(guī)性基準的要求幫助你驗證合規(guī)性

最小特權是一個概念，也是一個實踐，可以將用戶、賬號和計算過程的訪問權限限制為僅執(zhí)行日常合法活動所需要的資源。

在你的集群中啟用Pod安全策略

在Kubernetes中Pod安全策略可以實現(xiàn)為Admission Controller。要在你的集群中啟用PSP，確保PodSecurityPolicy在enable-admission-plugins列表內(nèi)，作為參數(shù)傳遞給你的Kubernetes API配置的參數(shù)：

--enable-admission-plugins=...,PodSecurityPolicy

提供托管Kubernetes集群（你無法直接訪問API配置）的云提供商通常會提供高級設置，用戶可以在整個集群范圍內(nèi)啟用PSP。在其他情況下，你可能需要編輯/etc/kubernetes/manifests/kube-apiserver.yaml文件，并將其添加到相應的命令參數(shù)中。

在Rancher中，你可以在UI上編輯集群來輕松啟用PSP：

你可以選擇默認應用哪個Pod安全策略。在本例中，我們選擇了restricted（受限）。

使用一個Admission controller來啟用PSP的好處在于它提供了一個即時預防機制，甚至可以在調度之前停止部署過度特權的Pod。缺點就是你啟用一個PSP之后，每個pod都需要經(jīng)過PSP的批準，使其部署和過渡更加困難。

Rancher中啟用基本Pod安全策略demo

在這一部分中，我們將逐步演示如何通過Rancher dashboard在集群中啟用Pod安全策略，并在默認情況下使用受限策略，并了解如何防止創(chuàng)建特權Pod。

PSP對象本身是將要應用于pod specs的要求和約束的列表。PSP YAML如下所示：

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: example
spec:
  allowedCapabilities:
    - NET_ADMIN
    - IPC_LOCK
  allowedHostPaths:
    - pathPrefix: /dev
    - pathPrefix: /run
    - pathPrefix: /
  fsGroup:
    rule: RunAsAny
  hostNetwork: true
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  privileged: true
  runAsUser:
    rule: RunAsAny
  volumes:
    - hostPath
    - secret

以上PSP有很多允許權限，例如：

• 它允許pod可以與其他Linux功能（如NET_ADMIN和IPC_LOCK）一起運行

• 它允許從主機安裝敏感路徑

• Pod可以作為特權運行

瀏覽Kubernetes官方文檔可以獲取可用的PSP控件及其默認值的完整列表：

https://kubernetes.io/docs/concepts/policy/pod-security-policy/

讓我們來看一個示例，說明如何防止特權Pod在集群中運行。

在集群中啟用PSP之后，請嘗試部署類似的pod：

deploy-not-privileged.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: not-privileged-deploy
  name: not-privileged-deploy
spec:
  replicas: 1
  selector:
    matchLabels:
      app: not-privileged-deploy
  template:
    metadata:
      labels:
        app: not-privileged-deploy
    spec:
      containers:
        - image: alpine
          name: alpine
          stdin: true
          tty: true
          securityContext:
            runAsUser: 1000
            runAsGroup: 1000

它可以立即使用，因為我們告訴Rancher啟用具有受限安全策略的PSP，該策略允許沒有特權的pod正常運行，像上面那樣。

檢查默認PSP中的內(nèi)容，如下所示：

$ kubectl get psp restricted-psp -o yaml

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  annotations:
    serviceaccount.cluster.cattle.io/pod-security: restricted
    serviceaccount.cluster.cattle.io/pod-security-version: "1960"
  creationTimestamp: "2020-03-04T19:56:10Z"
  labels:
    cattle.io/creator: norman
  name: restricted-psp
  resourceVersion: "2686"
  selfLink: /apis/policy/v1beta1/podsecuritypolicies/restricted-psp
  uid: 40957380-1d44-4e43-9333-91610e3fc079
spec:
  allowPrivilegeEscalation: false
  fsGroup:
    ranges:
      - max: 65535
        min: 1
    rule: MustRunAs
  requiredDropCapabilities:
    - ALL
  runAsUser:
    rule: RunAsAny
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    ranges:
      - max: 65535
        min: 1
    rule: MustRunAs
  volumes:
    - configMap
    - emptyDir
    - projected
    - secret
    - downwardAPI
    - persistentVolumeClaim

或者在Rancher的全局視角檢查。選擇【安全>Pod安全策略】并點擊受限的選項。

該PSP應該允許任何pod，只要它以標準用戶（不是root）身份運行，并且不需要任何特權和特殊功能。

有關PSP和RBAC的其他內(nèi)容，我們將在以后進行探討。為了簡單起見，加上Rancher已經(jīng)為你設置了必需的綁定，因此我們現(xiàn)在略過這一部分。讓我們嘗試部署一個特權pod，例如來自kubectl-root-in-host.sh腳本的那個pod：

deploy-privileged.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: privileged-deploy
  name: privileged-deploy
spec:
  replicas: 1
  selector:
    matchLabels:
      app: privileged-deploy
  template:
    metadata:
      labels:
        app: privileged-deploy
    spec:
      containers:
        - image: alpine
          name: alpine
          stdin: true
          tty: true
          securityContext:
            privileged: true
      hostPID: true
      hostNetwork: true

該pod將不會進入集群

 Warning  FailedCreate  2s (x12 over 13s)  replicaset-controller  Error creating: pods "privileged-deploy-7569b9969d-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used spec.securityContext.hostPID: Invalid value: true: Host PID is not allowed to be used spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed]

PodSecurityPolicy admission controller將不允許創(chuàng)建這個pod，因為現(xiàn)有的PSP不允許使用“hostPID”、“hostNetwork” 或 “privileged”。

在本文中我們通過在Rancher環(huán)境中啟用一個簡單的Pod安全策略來增強你的Kubernetes安全。通過使用默認的受限PSP，我們確保pod只能在不需要擴展安全權限的情況下運行。最后，我們嘗試部署一個擁有眾多權限的pod，并且失敗了，因為現(xiàn)有的PSP阻止了它被調度到集群上。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。

當前名稱：如何使用Pod安全策略強化K8S安全
本文鏈接：http://www.muchs.cn/article22/ghpojc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供服務器托管、全網(wǎng)營銷推廣、品牌網(wǎng)站制作、網(wǎng)站設計公司、動態(tài)網(wǎng)站、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)