安全
Last updated
Last updated
從安全的角度來看,Kubernetes 中包含如下圖所示的潛在攻擊面:
(圖片來自《Kubernetes Security - Operating Kubernetes Clusters and Applications Safely》)
爲了保證集群以及容器應用的安全,Kubernetes 提供了多種安全機制,限制容器的行爲,減少容器和集群的攻擊面,保證整個系統的安全性。
集群安全,比如組件(如 kube-apiserver、etcd、kubelet 等)只開放安全 API並開啓 TLS 認證、開啓 RBAC 等;
Security Context:限制容器的行爲,包括 Capabilities、ReadOnlyRootFilesystem、Privileged、RunAsNonRoot、RunAsUser 以及 SELinuxOptions 等;
Pod Security Policy:集群級的 Pod 安全策略,自動爲集群內的 Pod 和 Volume 設置 Security Context;
Sysctls:允許容器設置內核參數,分爲安全 Sysctls 和非安全 Sysctls;
AppArmor:限制應用的訪問權限;
Network Policies:精細控制容器應用和集群中的網絡訪問;
Seccomp:Secure computing mode 的縮寫,限制容器應用可執行的系統調用。
Kubernetes 組件(如 kube-apiserver、etcd、kubelet 等)只開放安全 API 並開啓 TLS 認證。
開啓 RBAC 授權,賦予容器應用最小權限,並開啓 NodeRestriction 准入控制(限制 Kubelet 權限)。
開啓 Secret 加密存儲(Secret Encryption),並配置 etcd 的 TLS 認證;
禁止 Kubelet 的匿名訪問和只讀端口,開啓 Kubelet 的證書輪替更新(Certificate Rotation)。
禁止默認 ServiceAccount 的 automountServiceAccountToken,並在需要時創建容器應用的專用 ServiceAccount。
禁止 Dashboard 的匿名訪問,通過 RBAC 限制 Dashboard 的訪問權限,並確保 Dashboard 僅可在內網訪問(通過 kubectl proxy)。
在多租戶場景中,還可以使用 Kata Containers、gVisor 等對容器進程進行強隔離,或者使用 Istio、Linkerd 等對容器應用之間的通信也進行自動加密。
Sysctls 允許容器設置內核參數,分爲安全 Sysctls 和非安全 Sysctls
安全 Sysctls:即設置後不影響其他 Pod 的內核選項,只作用在容器 namespace 中,默認開啓。包括以下幾種
kernel.shm_rmid_forced
net.ipv4.ip_local_port_range
net.ipv4.tcp_syncookies
非安全 Sysctls:即設置好有可能影響其他 Pod 和 Node 上其他服務的內核選項,默認禁止。如果使用,需要管理員在配置 kubelet 時開啓,如 kubelet --experimental-allowed-unsafe-sysctls 'kernel.msg*,net.ipv4.route.min_pmtu'
Sysctls 在 v1.11 升級爲 Beta 版,可以通過 PSP spec 直接設置,如
而 v1.10 及更早版本則爲 Alpha 階段,需要通過 Pod annotation 設置,如:
在使用 AppArmor 之前需要注意
Kubernetes 版本 >=v1.4
apiserver 和 kubelet 已開啓 AppArmor 特性,--feature-gates=AppArmor=true
已開啓 apparmor 內核模塊,通過 cat /sys/module/apparmor/parameters/enabled
查看
僅支持 docker container runtime
AppArmor profile 已經加載到內核,通過 cat /sys/kernel/security/apparmor/profiles
查看
AppArmor 還在 alpha 階段,需要通過 Pod annotation container.apparmor.security.beta.kubernetes.io/<container_name>
來設置。可選的值包括
runtime/default
: 使用 Container Runtime 的默認配置
localhost/<profile_name>
: 使用已加載到內核的 AppArmor profile
在 Kubernetes 中,需要將 seccomp 配置文件放到 /var/lib/kubelet/seccomp
目錄中(可以通過 kubelet 選項 --seccomp-profile-root
修改)。比如禁止 chmod 的格式爲
Seccomp 還在 alpha 階段,需要通過 Pod annotation 設置,包括
security.alpha.kubernetes.io/seccomp/pod
:應用到該 Pod 的所有容器
security.alpha.kubernetes.io/seccomp/container/<container name>
:應用到指定容器
而 value 有三個選項
runtime/default
: 使用 Container Runtime 的默認配置
unconfined
: 允許所有系統調用
localhost/<profile-name>
: 使用 Node 本地安裝的 seccomp,需要放到 /var/lib/kubelet/seccomp
目錄中
比如使用剛纔創建的 seccomp 配置:
推薦所有生產環境的 Kubernetes 集群定期運行 kube-bench,保證集群配置符合最佳的安全實踐。
安裝 kube-bench
:
當然,kube-bench 也可以直接在容器內運行,比如通常對 Master 和 Node 的檢查命令分別爲:
安裝 Clair 的方法爲:
其他鏡像安全掃描工具還有:
開源產品:
商業產品
除此之外,推薦儘量使用較新版本的 Kubernetes,因爲它們通常會包含常見安全問題的修復。你可以參考 來查詢最新的 Kubernetes 發佈情況,也可以參考 查詢 Kubernetes 各個版本的 CVE (Common Vulnerabilities and Exposures) 列表。
RBAC 規則過多或者無法滿足實際需要時,推薦使用 配置更靈活的訪問策略
定期運行 ,確保集群的配置或更新符合最佳的安全實踐(使用 和 )。
爲保障 TLS 安全,並避免 ,請爲 TLS 1.2 禁止 CBC (Cipher Block Chaining) 模式。
你可以使用 來測試 TLS 的安全問題。
完整參考見。
是 Linux 內核的一個安全模塊,允許系統管理員將每個程序與一個安全配置文件關聯,從而限制程序的功能。通過它你可以指定程序可以讀、寫或運行哪些文件,是否可以打開網絡端口等。作爲對傳統 Unix 的自主訪問控制模塊的補充,AppArmor 提供了強制訪問控制機制。
是 Secure computing mode 的縮寫,它是 Linux 內核提供的一個操作,用於限制一個進程可以執行的系統調用.Seccomp 需要有一個配置文件來指明容器進程允許和禁止執行的系統調用。
提供了一個簡單的工具來檢查 Kubernetes 的配置(包括 master 和 node)是否符合最佳的安全實踐(基於 )。
是 CoreOS 開源的容器安全工具,用來靜態分析鏡像中潛在的安全問題。推薦將 Clair 集成到 Devops 流程中,自動對所有鏡像進行安全掃描。
Clair 項目本身只提供了 API,在實際使用中還需要一個配合使用。比如,使用 的方法爲
是 Aqua Security 開源的容器漏洞掃描工具。相對於 Clair 來說,使用起來更爲簡單,可以更方便集成到 CI 中。
:容器運行時安全行爲監控工具。
:Docker 環境安全檢查工具。
:Kubernetes 集群滲透測試工具。