Kubernetes中API安全的最佳实践

最新推荐文章于 2024-03-18 16:45:20 发布
最新推荐文章于 2024-03-18 16:45:20 发布
阅读量131 收藏
点赞数
分类专栏: 云计算 Kubernetes 云原生 文章标签: kubernetes docker 容器
Kubernetes 同时被 3 个专栏收录
115 篇文章 1 订阅
订阅专栏
云原生
114 篇文章 0 订阅
订阅专栏
云计算
101 篇文章 0 订阅
订阅专栏

使用Kubernetes部署容器化应用程序时,必须考虑应用程序所依赖的基础设施。在Kubernetes中保护应用程序或API时,请确保考虑云原生安全的4C:云、集群、容器、代码。

遵循其中每一点的最佳实践可确保应用程序在安全环境中运行。这样的环境具有监控和避免各级意外行为的控件和组件,包括Kubernetes生态系统及其管理。

本文主要关注应用程序安全,讨论了入口控制器在Kubernetes中的作用(作为实现保护API最佳实践的一部分)。

提供单一入口点

默认情况下,pod的端口不会暴露在Kubernetes集群之外。pod可以通过服务进行分组,这些服务可以配置为公开internet上的端口。然而,服务资源是一个简单的组件。即使与负载均衡器结合使用,该设置也缺乏灵活性和适应性。另一方面,入口控制器提供了企业用例所需的许多功能,如基于名称的服务虚拟主机、路径映射、代理、响应缓存,最重要的是,还提供了身份验证或TLS终止等安全功能。

入口控制器为集群的单个入口点入口实现规则。作为该实现的一部分,入口控制器通常提供一系列安全功能。例如,NGINX入口控制器支持SSL重定向、HTTP严格传输安全(HSTS)或HTTP头过滤。根据入口控制器的选择,它甚至可以提供API网关的功能,如速率限制、聚合、监控或开发人员门户。一些入口控制器,如Kong入口控制器或Tyk Operator,通过与API网关紧密集成,利用Kubernetes中的API网关功能。此外,三大云提供商提供云原生Kubernetes入口控制器,即AWS负载均衡器控制器、Azure中的应用网关入口控制器和GKE入口控制器。

在Kubernetes中公开API时,使用入口控制器作为守门来保护集群中的所有服务。根据需求和以下最佳实践选择功能。

限制访问

作为单一入口点,入口控制器是实施身份验证和授权等安全策略的理想场所。这是一个常见的要求,入口控制器通常通过OAuth 2.0和OpenID Connect等开放标准提供身份验证支持。选择开放标准而不是专有解决方案是一种很好的做法,因为它支持互操作性和可移植性。当使用OAuth 2.0或OpenID Connect时,入口控制器可以在外围验证令牌。它还可以基于令牌中的数据(如颁发者、范围和受众参数)执行粗粒度访问控制,从而卸载API。

在微服务架构中,一个服务可以调用另一个服务来满足请求。实际上,在返回响应之前可能会有一个完整的调用链。但是,并非链中的所有服务都需要相同的权限。因此,请确保令牌具有足够的权限。考虑令牌共享机制,以避免令牌过载,从而包含下游服务调用中可能需要或不需要的所有可能权限(作用域和声明)。

例如,让OAuth 2.0或OpenID Connect服务器发出包含另一个嵌入令牌的令牌,该令牌可用于下游服务调用。然而,这意味着令牌服务器必须事先知道要生成和嵌入哪些令牌。要做到这一点,它必须事先知道将调用哪些其他服务。在复杂的设置中,此要求可能很难维护。另一种更灵活的方法是令牌交换,即可以将现有令牌交换为新令牌。该协议类似于虚拟令牌方法,但它没有改变格式,而是改变了部分内容。

无论采用何种方法,转发定制令牌都是实现最小特权原则的一部分。最小特权原则减少了总体攻击面,因为利用特权和访问不应授予的服务和数据变得更具挑战性。

在成熟的设置中,入口控制器或API网关用于协调不同的微服务,它还将负责执行令牌交换。

不要相信任何人

最好的做法是不停在外围,而是实现零信任架构。确保集群中的所有服务请求都经过身份验证。服务网格在基础设施级别提供了这种方法。此外,OAuth 2.0和OpenID Connect提供了应用程序级安全性工具。设计用于API中细粒度授权的访问令牌。

JSON Web令牌(JWT)是访问令牌的流行格式。它们非常有用,因为它们支持零信任架构和自包含令牌。然而,如果未加密,此类令牌可能包含恶意参与者可以轻松解析的敏感数据。因此,JWT只能在集群内使用。这被称为Phantom Token方法。

选择一个可扩展的入口控制器,以允许自定义和实现规则,例如Phantom Token方法或令牌交换所隐含的规则。它应该支持脚本功能或插件。后者更容易,因为你可以简单地添加和配置插件,而无需编写代码。特别是,你可以依靠安全专家的工作来获得与安全相关的插件。例如,使用为NGINX或Kong提供的插件来添加对Phantom Token方法的支持。但即使是脚本和配置也可以共享并用于分发零信任架构的安全最佳实践。

最佳实践一览

简而言之,在Kubernetes中保护API时,请考虑以下几点:

——使用入口控制器(或API网关)保护Kubernetes中API的所有服务。

——在外围执行粗粒度授权,并将细粒度决策留给API。

——仔细设计令牌,并在需要时进行交换,以满足最小特权原则。

——依靠标准协议并使用可扩展性特性来实现零信任架构。

原文链接:

https://thenewstack.io/best-practices-for-api-security-in-kubernetes/

k8scaptain
关注
专栏目录
REST API 安全设计指南.pdf
05-12
REST API 安全设计指南。REST的全称是REpresentational State Transfer,它利用传统Web特点,提出 提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计。 目前在三种主流的Web服务实现方案,REST模式服务相比复杂的SOAP和XML-RPC对比来讲,更加简 洁,越来越多的web服务开始使用REST设计并实现。但其缺少安全特性,《REST API 安全设计指南》就 是一个REST API安全设计的指南,权当抛砖引玉,推荐网站后台设计及网站架构师们阅读。
kubernetes技术最佳实践
04-09
Kubernetes是目前业界广泛使用的容器编排工具,它将容器化的应用以...此外,在生产环境还需考虑证书管理、网络策略、资源限制、调度策略等高级配置和最佳实践,这些都是构建稳定和高效Kubernetes集群不可或缺的部分。
「译」API 安全最佳实践,不要等出事后“捶胸顿足”
HelloGitHub 的博客
10-26 1158
原文地址:API Security Best Practices[1]原文作者:Mark Michon译者 & 校正:HelloGitHub-小鱼干 & HelloGit...
API接口安全思考和最佳实践
学以致用 知行合一
05-16 3850
应用程序编程接口 (API) 允许软件应用程序相互交互。它是现代软件模式的基本组成部分,例如微服务架构。 API 安全是保护 API 免受攻击的过程。由于 API 非常常用,而且它们可以访问敏感的软件功能和数据,因此它们正成为攻击者的主要目标。 API 安全性是现代 Web 应用程序安全性的关键组成部分。API 可能存在身份验证和授权损坏、缺乏速率限制和代码注入等漏洞。组织必须定期测试 API 以识别漏洞,并使用安全最佳实践解决这些漏洞。本文介绍了 API 安全测试的几......
Kubernetes - 安全
qq_43164571的博客
02-19 871
------------------------------------------------------------1、机制说明2、认证Authentication1)HTTPS 证书认证2)需要认证的节点两种类型安全性说明证书颁发3)kubeconfig4)ServiceAccount5)Secret 与 SA 的关系总结 1、机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的介,也是外部控制的入口。所以
3.14 k8s API安全机制
u010502101的博客
11-14 719
文章目录一、安全机制二、认证(Authentication)三、鉴权(Authorization)四、准入控制五、案例一:对ServiceAccount认证和鉴权1、创建ServiceAccount2、创建引用ServiceAccount的pod3、通过ServiceAccount认证k8s API证书以及获取API服务器授权4、通过RBAC插件为ServiceAccout授权六、案例二:对User用户进行认证和授权ClusterRole角色1、首先创建用户名为xxy的User用户2、创建证书请求3、下载c
基于Kubernetes容器安全最佳实践
在企业和生产环境容器安全至关重要。安全漏洞和攻击可能导致数据泄露、应用程序瘫痪、系统崩溃以及对业务的长期影响。 ## 1.2 Kubernetes容器安全的关系 Kubernetes是一个开源的容器编排系统,具备自动化...
Kubernetes日志采集与分析的最佳实践
02-14
Kubernetes日志采集与分析是当前容器化部署与运维非常关键的一个...通过掌握以上知识点,我们能够更好地在Kubernetes环境实施日志采集与分析的最佳实践。这将对提升整个应用系统的稳定性和可用性产生积极的影响。
容器安全DockerKubernetes最佳实践
接下来,我们将深入探讨DockerKubernetes最佳安全实践。 # 2. Docker安全最佳实践 ### 2.1 安全Docker镜像管理 在Docker容器,镜像是一个特殊的文件,包含了运行容器所需的所有内容。为了确保Docker镜像...
民生银行:基于F5技术实现Kubernetes生产环境最佳实践
05-08
民生银行在探索Kubernetes容器平台建设的过程,针对传统IT基础架构的负载均衡技术进行了深入研究,并结合F5技术实现了生产环境的最佳实践。本文将详细解析民生银行是如何基于F5技术,解决在Kubernetes环境下服务...
API 安全最佳实践
Explinks的博客
12-20 178
在本篇文章,我们将深入研究API安全性,并通过使用C#的实际示例探索一些基本机制。
API安全集成最佳实践:有效应对安全挑战
最新发布
A1_3_9_7的博客
03-18 842
API集成的重要性正愈发凸显。调查数据显示,83%的受访者表示API集成在其业务战略起着关键作用,约40%的受访者表示企业数字化转型的深入发展是推动API集成的关键推动力。对于现代企业而言,API集成的重要性主要体现在以下方面:**· 提高员工生产力:**如果没有API集成,企业的IT团队将浪费大量时间在应用程序和系统之间切换。在一个简化的平台拥有所需的工具可以节省宝贵的时间和精力。此外,API集成增强了自动化,可以帮助团队减少手动完成任务所花费的时间;
(八)k8s安全
卷心菜投手
01-14 1002
k8s安全
K8s 暴露服务的新方法 Gateway API 详解,它有什么好处?
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
08-08 2521
Gateway API 是新的官方 Kubernetes 资源的集合,它们定义了由供应商实现的规范,类似于 Ingress 由 Google、Amazon 等实现的方式。ReferenceGrant(仍处于 alpha 阶段,替换 ReferencePolicy )TCPRoute(仍处于 alpha 阶段)TLSRoute(仍处于 alpha 阶段)UDPRoute(仍处于 alpha 阶段)SIG-Network 所述的新面向角色。...
K8s-浏览器访问kube-apiserver安全端口.A
Vv的博客
01-03 5655
内容转载自:https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/A.%E6%B5%8F%E8%A7%88%E5%99%A8%E8%AE%BF%E9%97%AEkube-apiserver%E5%AE%89%E5%85%A8%E7%AB%AF%E5%8F%A3.md 浏览器访问 kube-apise...
在k8s上面搭建apisix网关
月夜楓
03-27 7805
本地安装apisix 使用yum安装 yum install -y https://github.com/apache/incubator-apisix/releases/download/1.1/apisix-1.1-0.el7.noarch.rpm 本地安装dashboard 参见:https://github.com/apache/incubator-apisix/tree/v1.1 ...
如何快速的在 Kubernetes 上部署云原生微服务网关 APISIX
easylife206的专栏
09-08 1879
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !1几种常见网关的比较Nginx, 模块化设计的反向代理软件,C 语言开发OpenResty, 以 Ngin...
K8s安全总结
liukuan73的专栏
12-05 8899
1. 预备知识1.1 kubernetes api相关知识Kubernetes API是集群系统的重要组成部分,Kubernetes各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)Kubernetes集群的各部件之间通过该API接口实现解耦合,同时Kubernetes集群一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kub
kubernetes API Server安全
ddk4044的博客
09-01 204
用户访问API Server(以下简称Server),K8S的安全检查步骤:认证和授权。 认证解决用户是谁的问题,就是验证用户名密码;授权解决用户能做什么的问题,就是检查该用户是否拥有权限访问请求的资源。通过合理的权限管理,能够保证系统的安全可靠。 网络 Server通过本地端口(Localhost Port)和安全端口(Secure Port)对外提供API服务,其本地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值