安全保障基于软件全生命周期-PSP应用

最新推荐文章于 2023-04-12 15:09:58 发布
最新推荐文章于 2023-04-12 15:09:58 发布
阅读量1k 收藏
点赞数
分类专栏: 云原生 文章标签: 安全 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaotl/article/details/125994279
版权

安全保障是基于软件全生命周期的,即贯穿了开发-分发-不熟-运行所有环节。在各个环节都可以进行一些安全活动保证系统安全。例如在代码开发环节从需求阶段即可加入安全的需求分析以及对应的保证策略,在代码提交前进行静态代码安全扫描、依赖扫描、IAC扫描等保证提交的代码安全。 

在分发环节,image需要push到代码仓库上进行存储,那么对于代码仓库可以进行安全隔离,提交的image进行安全扫描,对镜像进行签名以及签名验证等保障push到registry的image是安全的。

在运行环节,也可遵循一些安全保障优秀实践,例如

  • 只有经过批准的进程能在容器命名空间内运行
  • 禁止并报告未经授权的资源访问
  • 监控网络流量以检测恶意活动
  • 服务网格是另外一种常见的服务层抽象,它为已经编排的服务提供了整合和补充功能,而不会改变工作负载软件本身(如API流量的日志记录,传输加密,可观测性标记、认证和授权等)

分层对运行的应用实施安全保证,具体的措施如Network Policy,Pod Security,Container Security,Pod security Policy等等。

上面介绍了一些通用概念,接着将通过实际例子演示上面提到的一些具体安全保障措施如何保障运行时安全的。

第一:以Non-root身份运行容器

在DockerFile中通过User命令切换成非root用户,通过groupadd,useradd添加用户,通过USER username来制定后面的命令用非root用户来运行。

FROM python:3.9.5-slim
RUN pip install flask && \
    groupadd -r flask && useradd -r -g flask flask && \
    mkdir /src && \
    chown -R flask:flask /src
USER flask
COPY app.py /src/app.py
WORKDIR /src
ENV FLASK_APP=app.py
EXPOSE 5000
CMD ["flask", "run", "-h", "0.0.0.0"]

例如下面的实际例子,在Dockerfile中定义非root用户执行ENTRYPOINT命令

FROM ubuntu
ENV MY_SERVICE_PORT=80
ENV MY_SERVICE_PORT1=80
ENV MY_SERVICE_PORT2=80
ENV MY_SERVICE_PORT3=80
LABEL multi.label1="value1" multi.label2="value2" other="value3"
ADD bin/amd64/httpserver /httpserver
EXPOSE 8080
RUN useradd -m --uid 1000 web-admin && \
  echo "web-admin ALL=NOPASSWD: ALL" >> /etc/sudoers
RUN chown web-admin /httpserver
USER web-admin
ENTRYPOINT ["/httpserver"]

在部署文件中指定非root用户来运行容器。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: non-root-httpserver
spec:
  replicas: 1
  selector:
    matchLabels:
      app: httpserver
  template:
    metadata:
      annotations:
        prometheus.io/scrape: "true"
        prometheus.io/port: "80"
      labels:
        app: httpserver
    spec:
      securityContext:
        runAsUser: 1000
      containers:
        - name: httpserver
          imagePullPolicy: Always
          image: cncamp/httpserver:v1.0-nonroot
          ports:
            - containerPort: 80
      serviceAccount: fake-user

第二:集群间组件采用TLS加密进行安全通信,例如如果部署多个etcd的member,那么member之间访问可配置TLS加密,保证访问安全。

第三:添加NodeRestriction标签:准入控制器限制了kubelet可以修改Node和Pod对象,kubelet只可以修改自己的Node API对象,只能修改绑定到节点的Pod对象。可以对节点添加node-restriction.kubernetes.io前缀的标签,这样kubelet就不能删除节点了。

第四:Securtiy Policy:安全上下文描述了允许请求访问某个节点上的特定用户,获得特定权限访问主机网络等。Kubelets提供了三种配置的Security Context。
Container-level security context:仅应用到指定容器
Pod-leve security context:应用到Pod内所有的容器以及Volume
Pod Security Policies(PSP):应用到集群内部所有的Pod以及Volume

例如,查看被Istio注入的简单的toolbox的Pod的yaml文件,可以看到有securityContext的信息,drop all表示取消所有权限,1337进程号的User 来运行的容器。

再比如查看CoreDNS的pod的security context,有NET_BIND_SERVICE权限。 

在看Calico pod的security context,因为要修改主机网络配置,权限比较大,privileged=true。 

Pod Security Policies(PSP)是集群级的Pod安全策略,自动为集群内的Pod和Volume设置Security Context,Security Context设置的各字段和含义如下表所示

接下来通过实际例子演示如何通过PSP控制权限,PSP默认是不开启的,所以为了开启PSP,需要修改kube-apiserver.yaml中的配置信息,且因为开启后PSP就生效,所以提前通过Role/RoleBinding分配一个很大的权限,否则生效后很多操作都无法进行。启动前的PSP文件内容如下所示:这里的privileged=true,允许所有端口,所有Capalilities,任意用户运行。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: privileged
  annotations:
    seccomp.security.alpha.kubernetes.io/allowedProfileNames: '*'
spec:
  privileged: true
  allowPrivilegeEscalation: true
  allowedCapabilities:
    - '*'
  volumes:
    - '*'
  hostNetwork: true
  hostPorts:
    - min: 0
      max: 65535
  hostIPC: true
  hostPID: true
  runAsUser:
    rule: 'RunAsAny'
  seLinux:
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'RunAsAny'
  fsGroup:
    rule: 'RunAsAny'

 接着创建ClusterRole,这个Role的含义是:将名称为privileged的podsecuritypolicies use到这个role上,也就是role具备上面定义的PSP权限。然后通过RoleBinding将Role的权限赋值给kube-system namespace下面的所有serviceaccount和nodes对象。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: privileged-psp
rules:
  - apiGroups:
      - policy
    resourceNames:
      - privileged
    resources:
      - podsecuritypolicies
    verbs:
      - use
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kube-system-psp
  namespace: kube-system
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: privileged-psp
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: Group
    name: system:nodes
    namespace: kube-system
  - apiGroup: rbac.authorization.k8s.io
    kind: Group
    name: system:serviceaccounts:kube-system

接着执行命令kubectl apply让上面的对象生效,修改/etc/kubernetes/manifests/kube-apiserver.yaml,开启PSP(--enable-admission-plugins=PodSecurityPolicy),配置文件修改后,APIServer会自动重启让配置生效。

因为配置了很大的权限,此时用kubectl执行各项操作仍然正常,接着来创建一个serviceaccount,对比serviceaccount绑定PSP前后的结果来理解PSP工作工程。

kubectl create namespace psp-example
kubectl create serviceaccount -n psp-example fake-user
kubectl create rolebinding -n psp-example fake-editor --clusterrole=edit --serviceaccount=psp-example:fake-user
### create alias to simulate users
```
alias kubectl-admin='kubectl -n psp-example'
alias kubectl-user='kubectl --as=system:serviceaccount:psp-example:fake-user -n psp-example'
```

定义个名叫example的PSP,通过kubectl apply命令让这个PSP生效。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: example
spec:
  privileged: false  # Don't allow privileged pods!
  # The rest fills in some required fields.
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
    - '*'

接着用创建的serviceaccount去尝试创建一个pod 

kubectl-user create -f- <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: pause
spec:
  containers:
    - name: pause
      image: k8s.gcr.io/pause
EOF

会显示创建失败,查看该serviceaccount是否绑定了上面的PSP,结果是No。

接着创建Role和Rolebinding将PSP与serviceaccount进行绑定。

### create a role which use the psp
kubectl-admin create role psp:unprivileged \
    --verb=use \
    --resource=podsecuritypolicy \
    --resource-name=example


### bind the role to user
```
kubectl-admin create rolebinding fake-user:psp:unprivileged \
    --role=psp:unprivileged \
    --serviceaccount=psp-example:fake-user
```

 接着再用上面的serviceaccount创建pod,可以看到创建pod成功。

通过上面的例子可以看到通过定义不同权限的PSP,再将PSP的权限分配给不同的serviceaccount,从而来保障集群内的安全。

除了上面介绍了PSP,实际给节点增加Taint也是一种安全防护措施。例如:为不同的租户的节点增加Taint,这样多租户情况下实现节点的相互隔离。

taoli-qiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
确保软件开发生命周期(SDLC)的安全
qzt961003的博客
06-10 2183
对于SDLC的步骤和不同的项目方法(如瀑布、精益和敏捷)来改变我们对它们的看法存在争议。但是在所有这些方法中,我们在项目开始和每个新功能的开发上基本遵循相同的5个步骤。接下来,我们将分解这些阶段,并一一探索其中具体的安全需求...
软件生命周期应用安全(网络安全
coologic
12-11 724
文章目录Predefine何谓应用何谓安全何谓软件生命周期孕育 - 请给“树”一个好的基础单人种树-艰辛也省心多人种树-众人拾柴火焰高团队种树-持续成长诞生 - 给小树苗起个名办个证生长 - 历经坎坷的树生齐心变心 - 外患伤心 - 内忧成熟 - 理性的分析事物,辩证的看待问题衰亡 - 结束何尝不是新的开始总结应用安全价值权衡与应用共情BibliographyAcknowledgement 历史车...
Docker为整个软件生命周期提供安全保障
xinxinyunli的博客
09-07 272
作者:Docker Security Team 译者:廖煜提到Docker的安全性和隔离性,人们关注点大多都在运行阶段。但是,运行时的安全问题仅仅是整个软件生命周期中的一部分,我们需要在整个软件生命周期都考虑安全问题。管理者必须把安全作为一个关键因素考虑,并贯穿软件产品供应链的过程,考虑当出现持续的人员流动、代码更新、架构变化时,如何保证安全。用生产手机的供应链打个比方,管理者不会仅仅考虑手机本...
数据防护无处不在 Forcepoint实现生命周期安全防护
weixin_34265814的博客
08-01 1315
2016年1月,Websense更名为Forcepoint,与此同时完成了对Intel Security Stonesoft 下一代防火墙和Sidewinder代理防火墙技术和团队的收购。如今,8个月过去了,Forcepoint这个新品牌建设情况如何?有哪些新的安全动作?对球信息安全产业的发展又有何心得?近日,51CTO采访到了Forcepoi...
软件系统安全保障方案
11-20
项目交付时,必须提供的系统安全保障方案,大家软件项目交付时可以参考
XXX软件系统安全保障方案.doc
03-17
软件系统安全保障方案,包括目录结构和一些通用性的描述。目录结果: 安全保障方案 1 目 录 1 1、 保障方案概述 3 2、 系统安全目标与原则 3 2.1 安全设计目标 3 2.2 安全设计原则 3 3、 系统安全需求分析 4 4、 系统安全需求框架 6 5、 安全基础设施 6 5.1 安全隔离措施 7 5.2 防病毒系统 7 5.3 监控检测系统 7 5.4 设备可靠性设计 7 5.5 备份恢复系统 7 6、 系统应用安全 7 6.1 身份认证系统 7 6.2 用户权限管理 7 6.3 信息访问控制 8 6.4 系统日志与审计 8 6.5 数据完整性 8 7、 安全管理体系 8 8、 其他 9
PSP-塑造世界一流的专业软件工程师
03-04
引言WattsHumphrey作为8000个工程师的编码...针对这一欠缺,Humphrey在1994年推出了个体软件过程(PersonalSoftwareProcess,PSP)和群组软件过程(TeamSoftwareProcess,TSP)。在我国,周伯生教授于1994年首次在广州对PS
NooDS-PSP:适用于 PSP 的 Nintendo DS 模拟器。 基于 NooDS
05-31
NooDS-PSP 适用于 PSP 的 Nintendo DS 模拟器。 基于 NooDS: : 你需要什么: Arm9 生物Arm7 Bios NDS固件媒体引擎插件 (mediaengine.prx) 然后将它们重命名如下: Arm9 bios -> bios9.bin Arm7 bios -> bios7.bin ...
实施软件质量保障体系CMM/TSP/PSP的建议
02-27
到90年代中期,以CMM模型的成熟模型和日益为市场接受为标志,已经进入以过程成熟模型CMM、个体软件过程PSP和群组软件过程TSP为标志的以过程为中心的时代,而软件发展第三个时代,及软件工业化生产时代,从90年代中期...
安全应用程序开发和应用程序安全防御
weixin_33756418的博客
01-08 101
摘要 对互联网行业而言,安全总是后知后觉!只有遭受损失时才想办法去弥补。互联网的历史就非常清楚的验证这个理论,早在1969年美国军方就发明了互联网命名为「Arpanet」,1973年 Arpanet 发明了 TCP/IP 协议,随后在1981年发明了一系列的应用协议如「SMTP,POP3,FTP,TELNET 」等等,在1991年,就发明...
想低成本保障软件安全?5大安全任务值得考虑
分享 GPU 管理与大模型推理相关技术实践
07-12 357
安全左移”的理念逐渐开始深入 DevOps 团队,本文列举了5个DevOps团队需要考虑的安全任务以在软件开发过程中实现“安全左移”的策略,保障应用安全
Linux企业运维——Kubernetes(十四)PSP安全策略
weixin_44310047的博客
08-23 738
Linux企业运维——Kubernetes(十四)PSP安全策略 文章目录Linux企业运维——Kubernetes(十四)PSP安全策略1、PSP安全策略简介2、PSP安全策略配置 1、PSP安全策略简介 PodSecurityPolicy(简称PSP)是Kubernetes中Pod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。 默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建
Docker学习笔记
最新发布
梅子黄时雨
04-12 101
Docker学习笔记
Kubernetes 系统强化 Pod安全策略 PSP
小楼一夜听春雨,深巷明朝卖杏花
07-10 1367
第一步PodSecurityPolicy(简称PSP):Kubernetes中Pod部署时重要的安全校验手段,能够 有效地约束应用运行时行为安全。 使用PSP对象定义一组Pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这 些条件才会被K8s接受。(在部署的时候去校验的,在运行的时候是不管的,当你创建podd的时候会去校验) Pod安全策略限制维度 Pod安全策略限制维度: 在之前的行为在yaml里面写一些安全配置都是有意识的去选择,如果k8s集群是别人使..
安全保障基于软件生命周期-NetworkPolicy应用
qiaotl的博客
07-26 284
通过实际例子演示NetworkPolicy工作原理。
一起来学k8s 19.NetworkPolicy
隔壁小翔
07-14 904
NetworkPolicy Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离,flannel 是没有网络策略的,calico有网络策略,建议安装calico,或者canal(就是flannel+calico,flannel作为网络划分,calico作为网络策略)。 环境 192.168.48.101 master01 192.168.48.201 nod...
Kubernetes 11 (API访问控制、serviceaccount、useraccount、RBAC、PSP安全策略配置)
qq_38664479的博客
09-29 660
目录一、kubernetes访问控制原理二、API Server认证三、UserAccount四、RBAC(基于角色访问控制)授权五、服务账户的自动化 一、kubernetes访问控制原理 kubernetes API 访问控制步骤:认证、授权、准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kuberne
为数据提供生命周期安全防护
weixin_33859504的博客
08-22 976
在这个新的互联网时代里,移动设备和云计算给数据安全防护带来了新的麻烦。日前,SafeNet亚太地区副总裁陈泓先生接受了笔者的采访,介绍了如何在云计算环境里为数据提供生命周期安全防护。 陈泓 SafeNet亚太地区副总裁 陈泓先生在1994年加入美商SafeNet在美国的总公司担任经理一职,他致力于开发亚太地区的市场,成功建立了许多销售通...
软件工程过程与生命周期模型详解
软件开发领域,软件过程及生命周期模型是至关重要的概念,它们指导着软件从构思到最终交付的过程。软件工程过程是一个有组织的活动集合,涵盖了从需求获取到软件产品交付的各个阶段。在这个过程中,团队成员协同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

taoli-qiao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值