这些用来审计 Kubernetes RBAC 策略的方法你都见过吗?

最新推荐文章于 2024-07-22 14:17:37 发布
最新推荐文章于 2024-07-22 14:17:37 发布
阅读量157 收藏
点赞数
分类专栏: Kubernetes 安全 文章标签: kubernetes
原文链接:c.com
版权

认证与授权对任何安全系统来说都至关重要,Kubernetes 也不例外。即使我们不是安全工作人员,也需要了解我们的 Kubernetes 集群是否具有足够的访问控制权限。Kubernetes 社区也越来越关注容器的安全评估(包括渗透测试,配置审计,模拟攻击),如果你是应用安全工程师,或者是安全感知的 DevOps 工程师,最好了解一下 Kubernetes 的授权模型。

Kubernetes 的授权控制原则与大多数系统一样:在授予访问权限时采用最小授权原则。例如,如果某个 Pod 使用了特定的 serviceAccount,那么该 Pod 被限定为只能拥有指定的权限,只能访问特定的资源。

Kubernetes 从 1.6 开始支持基于角色的访问控制机制(Role-Based Access,RBAC),集群管理员可以对用户或服务账号的角色进行更精确的资源访问控制。先简单回顾一下 RBAC 的原理。

 

1.RBAC 基础概念

RBAC 授权策略会创建一系列的 Role 和 ClusterRole 来绑定相应的资源实体(serviceAccount 或 group,user),以此来限制其对集群的操作。每一个 Role 都基于 Create, Read, Update, Delete(CRUD)模型来构建,并使用“动词”来应用相应的权限。例如,动词 get 表示能够获取特定资源的详细信息。如果你想获取对 Secrets 的访问权限,可以创建如下的 ClusterRole:

 

2.RBAC 实践

RBAC 授权模型为我们提供了一种精确的访问控制机制,但随着环境越来越复杂,这些 RBAC 配置也越来越难维护。RBAC 配置可能包含了 Roles, RoleBindings, ClusterRoles, ClusterRoleBindings, ServiceAccounts 和 Groups 等,想要跟踪它们之间的关系非常困难。

举个栗子,先创建一个名叫 helm 的 ServiceAccount,然后创建相应的 Role 绑定 “tiller-world” namespace,该 Role 只拥有 list pods 的权限,最后通过创建 RoleBinding 将该 Role 与之前创建的 ServiceAccount 绑定。

图片

 如果你想知道新创建的授权对象是否仅被授予必要的访问权限,就需要审查这些对象及其在集群中的关系。有时候还需要确保其仅对特定的资源实例具有访问权限,不允许访问所有的资源实例。例如,如果你不想让上面的 ServiceAccount 访问所有的 Secret,只允许它访问特定的 Secret,可以使用 resourceNames 字段指定:

图片

这个方法的问题在于无法过滤集群中不存在的资源,这意味着如果资源的名称是动态变化的,那么就无法创建相应的 Role,除非在创建 Role 的同时创建资源。

图片

富士康质检员张全蛋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RBAC 操作与实现
赤焰军
09-27 4193
1 RBAC简介 RBAC(Role-Based Access Control)策略框架使得操作者允许一个或多个项目(租户)访问自己的资源。通过创建rbac_policy,指定action{access_as_share,access_as_external}、target_tenant_id、object_type{network, qos_policy}等参数来完成。     RBAC可指
使用Kubernetes的挑战和应对技巧
琦彦
09-20 9105
原文发表于kubernetes中文社区,为作者原创翻译,原文地址 更多kubernetes文章,请多关注kubernetes中文社区 从2000年FREEBSD( 一种可免费使用的UNIX操作系统 ) 亮相,容器技术不断发展,到如今,容器已牢牢占据着现代软件交付的中心地位。Kubernetes是当今容器编排的事实上的标准,并且是容器化领域中最好的。正如预测的那样,到2023年,全球70%以上的企业将运行两个或多个容器化应用程序。 但是,Kubernetes目前仍然很复杂。即使Kuberne...
什么是基于角色的访问控制 (RBAC)?示例、好处等
allway2的博客
09-21 9476
根据 Research Triangle Institute 为 NIST 提供的 2010 年报告,RBAC 减少了员工停机时间,改进了供应,并提供了高效的访问控制策略管理。RBAC 提供了细粒度的控制,提供了一种简单、可管理的访问管理方法,与单独分配权限相比,这种方法更不容易出错。在组织内部,可以为不同的角色提供写访问权限,而其他角色可能只提供查看权限。如果它们被删除,访问将受到限制。在这些角色中的每一个中,可能有一个管理层和一个单独的贡献者层,它们在授予每个角色的各个应用程序内具有不同级别的权限。
基于RBAC架构的数据资源权限划分策略
yangqinglei26的博客
02-20 1947
通过定义角色和权限,结合数据过滤和访问控制机制,该策略能够确保只有授权用户才能访问和操作相关数据资源,保障数据的安全性和合规性。用户是系统的使用者,角色是权限的集合,权限是对特定资源的操作许可,资源则是系统中的数据或功能。首先,随着企业业务的不断发展和变化,角色和权限的定义可能需要不断调整和优化,以适应新的业务需求和场景。它通过定义角色和权限,简化了权限管理的复杂性,提高了系统的安全性和用户的使用体验。通过以上权限设计,企业可以根据不同的数据使用场景为用户分配合适的角色和权限,确保数据的安全性和合规性。
权限设计学习篇--BlueDavy之技术Blog - 漫谈权限系统之技术策略以及基于RBAC ......
weixin_30294709的博客
09-02 158
根据上面的需求描述以及对需求的分析,我们得知通常的一个中小型系统对于权限系统所需实现的功能以及非功能性的需求,在下面我们将根据需求从技术角度上分析实现的策略以及基于目前两种比较流行的权限设计思想来讨论关于权限系统的实现。 1.1. 技术策略 l 身份认证 在B/S的系统中,为识别用户身份,通常使用的技术策略为将用户的身份记录在Session中,也就是当用户登录时即...
RBAC 资源访问控制
weixin_30861459的博客
06-11 523
依靠角色来限定的访问控制 As a role is primarily a behavioral concept, the logical step when developing software is to use Roles as a means to control access to application features or data. As you might expect,...
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
audit2rbac 总览 audit2rbac将和用户名作为输入,并生成角色和绑定对象,以覆盖该用户提出的所有API请求。 示范影片 使用说明 获取Kubernetes审核日志,其中包含您希望用户执行的所有API请求: 日志必须为JSON格式...
rbac.dev:Kubernetes RBAC的良好实践和工具的集合
05-10
通过Containerum 在RBAC中使用Kubernetes配置权限StefanBüringer通过开放策略代理授权KubernetesKubernetes中像老板一样配置RBAC,作者EmreSavcı Eviatar Gerzi消除风险性RBAC许可,从而保护Kubernetes集群利用
rbac-tool:Kubernetes RBAC Power Toys - 可视化、生成和查询
05-30
RBAC 授权使用rbac.authorization.k8s.io API 组来驱动授权决策,允许您通过 Kubernetes API 动态配置策略。 权限纯粹是附加的(没有“拒绝”规则)。 角色总是在特定的命名空间内设置权限; 创建角色时,必须...
rbacsync:自动将组同步到Kubernetes RBAC
02-03
该项目提供了一个Kubernetes控制器,用于使用合并的配置对象从组成员身份源同步Kubernetes 使用的RoleBindings和ClusterRoleBindings。 提供的配置对象使您可以定义“虚拟”组,从而创建直接引用组中所有用户的...
krane:Kubernetes RBAC静态分析和可视化工具
02-03
Kubernetes RBAC分析变得简单 Krane是一个简单的Kubernetes RBAC静态分析工具。 它确定了K8的RBAC设计中的潜在安全风险,并就如何减轻这些风险提出了建议。 Krane仪表板显示了当前的RBAC安全状态,并允许您浏览其...
的权限模型(ACL、DAC、MAC、RBAC)和权限测试策略
热门推荐
hi_bigbai的博客
10-20 1万+
的权限模型 1、ACL 访问控制列表 定义:规定资源可以被哪些主体进行哪些操作。 在ACL权限模型下,权限管理是围绕资源来设定的。我们可以对不同的页面设定可以访问的用户 ​ 2、DAC 自主访问控制 定义:规定资源可以被哪些主体进行哪些操作。同时,主体可以将资源、操作的权限,授予其他主体 在ACL的基础上,DAC模型将授权的权力下放,允许拥有权限的用户,可以自主地将权限授予其他用户。 ​ 3、MAC 强制访问控制 定义:当一个操作,同时满足a与b时,允许操作 a. 规定资源可以被哪些类别的主体进
OpenStack网络指南(24)基于角色的访问控制 (RBAC)
fyggzb的博客
12-30 2311
基于角色的访问控制(RBAC策略框架允许运营商和用户授予对特定项目的资源的访问权。支持的对象与特定项目共享目前,可以使用此功能授予的访问权限受以下支持: 网络上的常规端口创建权限(自Liberty)。 绑定QoS策略权限到网络或端口(自Mitaka)。 将路由器网关连接到网络(自Mitaka)。与特定项目共享对象通过创建允许目标项目对该对象的access_as_shared操作的策略条目来实
RBAC
沉迷代码无法自拔
07-15 3183
实用的RBAC模型的数据库建模    RBAC用户角色权限设计方案RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。    角色是什么?可以理解为一定数量的权限的集...
RBAC基于角色的访问控制
mercies的博客
12-17 193
文章目录1. RBAC(Role-Based Access Control)的作用: 1. RBAC(Role-Based Access Control)的作用: 基于角色权限控制(RBAC)是面向企业安全策略的访问控制方式。 RBAC核心思想是将控制访问的资源(系统中可以使用的功能,上传下达的文件,URL网址)与角色(Role)进行绑定。 系统的用户(user)与角色(Role)再进行绑定,用户便拥有对应的权限 ...
K8S 上部署 Prometheus + Grafana
最新发布
小强签名设计 的博客
07-22 299
【代码】K8S 上部署 Prometheus + Grafana。
k8s二次开发-kubebuiler一键式生成deployment,svc,ingress
Drosssse的博客
07-18 554
注:必须在当前的K8S集群有 nginx这个ingressclass。
k8s+containerd(kvm版)
weixin_62799021的博客
07-22 561
k8s(Kubernetes)是由Gogle开源的容器编排引擎,可以用来管理容器化的应用程序和服务,kk8s提供了自动重启、自动重建、自动修复提高集群的可用性,以下概念稍微了解即可,看一看直接实操,
[k8s源码]5.自己写一个informer控制器
weixin_45396500的博客
07-22 259
Indexer 实际上存储的是完整的对象(如 Pod、Service 等),允许通过多种方式(如名字、命名空间等)快速检索对象。Queue 存储的是对象的键(通常是 "namespace/name" 格式的字符串)。随后设计一个run函数,从而开始从官方的informer拿取数据,但是我们自己设计的informer会有多个worker来处理从队列拿到的任务。k8s的informer控制器有一个informer,有一个indexer,还需要一个队列来存储从kubernetes API获取的信息。
Kubernetes RBAC与Istio服务网格:访问控制详解
通过与KubernetesRBAC协同工作,Istio可以扩展Kubernetes的访问控制,例如通过控制平面的 Gateways 和 VirtualServices 来实现细粒度的服务到服务的访问策略。 在实践部署时,管理员可能需要编辑kube-apiserver的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值