Kubernetes 最佳安全实践指南

最新推荐文章于 2024-05-15 15:08:50 发布
最新推荐文章于 2024-05-15 15:08:50 发布
阅读量1.6k 收藏
点赞数
分类专栏: Kubernetes 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/118683609
版权

Kubernetes securityContext 容器安全 权限控制 资源限制
关键词由CSDN通过智能技术生成

在 Kubernetes 中安全地运行工作负载是很困难的,有很多配置都可能会影响到整个 Kubernetes API 的安全性,这需要我们有大量的知识积累来正确的实施。Kubernetes 在安全方面提供了一个强大的工具 securityContext,每个 Pod 和容器清单都可以使用这个属性。在本文中我们将了解各种 securityContext 的配置,探讨它们的含义,以及我们应该如何使用它们。

securityContext 设置在 PodSpec 和ContainerSpec 规范中都有定义,这里我们分别用[P][C]来表示。需要注意的是,如果一个设置在两个作用域中都可以使用和配置,那么我们应该优先考虑设置容器级别的。

1. 为容器配置 Security Context

大部分情况下容器不需要太多的权限,我们可以通过 Security Context 限定容器的权限和访问控制,只需加上 SecurityContext 字段:

apiVersion: v1
kind: Pod
metadata:
  name: <Pod name>
spec:
  containers:
  - name: <container name>
    image: <image>
      securityContext:

2. 禁用 allowPrivilegeEscalation

allowPrivilegeEscalation=true 表示容器的任何子进程都可以获得比父进程更多的权限。最好将其设置为 false,以确保 RunAsUser 命令不能绕过其现有的权限集。

apiVersion: v1
kind: Pod
metadata:
  name: <Pod name>
spec:
  containers:
  - name: <container name>
  image: <image>
    securityContext:
      allowPrivilegeEscalation: false

3. 不要使用 root 用户

为了防止来自容器内的提权攻击,最好不要使用 root 用户运行容器内的应用。UID 设置大一点,尽量大于 3000

apiVersion: v1
kind: Pod
metadata:
  name: <name>
spec:
  securityContext:
+   runAsUser: <UID higher than 1000>
+   runAsGroup: <UID higher than 3000>

4. 限制 CPU 和内存资源

这个就不用多说了吧,requests 和 limits 都加上。

5. 不必挂载 Service Account Token

ServiceAccount 为 Pod 中运行的进程提供身份标识,怎么标识呢?当然是通过 Token 啦,有了 Token,就防止假冒伪劣进程。如果你的应用不需要这个身份标识,可以不必挂载:

apiVersion: v1
kind: Pod
metadata:
  name: <name>
spec:
+ automountServiceAccountToken: false

7. 限制容器的 capabilities

容器依赖于传统的 Unix 安全模型,通过控制资源所属用户和组的权限,来达到对资源的权限控制。以 root 身份运行的容器拥有的权限远远超过其工作负载的要求,一旦发生泄露,攻击者可以利用这些权限进一步对网络进行攻击。

默认情况下,使用 Docker 作为容器运行时,会启用 NET_RAW capability,这可能会被恶意攻击者进行滥用。因此,建议至少定义一个PodSecurityPolicy(PSP),以防止具有 NET_RAW 功能的容器启动。

通过限制容器的 capabilities,可以确保受攻击的容器无法为攻击者提供横向攻击的有效路径,从而缩小攻击范围。

apiVersion: v1
kind: Pod
metadata:
  name: <name>
spec:
  securityContext:
  + runAsNonRoot: true
  + runAsUser: <specific user>
  capabilities:
  drop:
  + -NET_RAW
  + -ALL

如果你对 Linux capabilities 这个词一脸懵逼,建议去看看我的脑残入门系列:

8. 只读

如果容器不需要对根文件系统进行写入操作,最好以只读方式加载容器的根文件系统,可以进一步限制攻击者的手脚。

apiVersion: v1
kind: Pod
metadata:
  name: <Pod name>
spec:
  containers:
  - name: <container name>
  image: <image>
  securityContext:
  + readOnlyRootFilesystem: true


root@k8s-master:~# cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: busybox
spec:
  containers:
  - name: busybox
    image: busybox
    command: ['sh','-c','sleep 3600']
    securityContext:
      readOnlyRootFilesystem: true

root@k8s-master:~# kubectl exec -it busybox  sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
/ # ls /
bin   dev   etc   home  proc  root  sys   tmp   usr   var
/ # cd /etc/
/etc # touch a.xtx
touch: a.xtx: Read-only file system
/etc # echo aa >/tmp/a.txt
sh: can't create /tmp/a.txt: Read-only file system

富士康质检员张全蛋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
kubernetes权威指南例子代码
09-30
Kubernetes权威指南》是一本深入探讨 Kubernetes 集群管理、应用部署和服务发现的经典教程。这本书通过详尽的实例代码,帮助读者理解和掌握 Kubernetes 的核心概念与实践操作。在这个压缩包“kubeguide-example-...
kubernetes--安全上下文(Security Context)
热门推荐
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
k8s的网路配置
最新发布
weixin_58376680的博客
05-15 1207
Flannel的功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址。Flannel是Overlay网络的一种,也是将TCP源数据包封装在另一种网络包里面进行路由转发和通信,目前支持UDP、VXLAN、host-GW三种数据转发方式。
深度解读!阿里统一应用管理架构升级的教训与实践
阿里云开发者
03-16 3279
简介: 如何既让全公司的研发和运维充分享受云原生技术体系革新带来的专注力与生产力提升,又能够让现有 PaaS 体系无缝迁移、接入到 Kubernetes 大底盘当中,还要让新的 PaaS 体系把 Kubernetes 技术与生态的能力和价值最大程度的发挥出来,而不是互相“屏蔽”甚至“打架”?这个“既要、又要、还要”的高标准要求,才是解决上述 “Kubernetes vs PaaS” 难题的关键所...
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 3334
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
云原生|kubernetes|pod或容器的安全上下文配置解析
zsk_john的技术分享专用博客
01-08 1013
​ 若要为 Container 设置安全性配置,可以在 Container 清单中包含securityContext字段。securityContext字段的取值是一个SecurityContext对象。你为 Container 设置的安全性配置仅适用于该容器本身,并且所指定的设置在与 Pod 层面设置的内容发生重叠时,会重写 Pod 层面的设置。Container 层面的设置不会影响到 Pod 的卷。说人话就是pod和容器两个层面都可以设置securitycontext,如果是多容器,比如,某个
OpenShift 4 - 容器安全之 SecurityContext 配置
多恩斯基的博客
01-05 1175
以下两文介绍了如何利用容器特权配置对容器平台进行安全攻击,而本文介绍和部署运行容器相关的最佳 SecurityContext 实践
Kubernetes指南中文
11-24
Kubernetes 指南中文版可能涵盖了这些概念的详细解释、实践案例和最佳实践,帮助读者深入理解 Kubernetes 的工作原理和使用方法。阅读这本书,你将学习如何构建、部署和管理自己的 Kubernetes 集群,以及如何优化...
kubernetes_practice:kubernetes实践指南(内容不定期更新中。。。),欢迎提PR
02-03
实践指南围绕Kubernetes的核心概念、组件、工作流程以及最佳实践展开,帮助用户深入理解和熟练运用这一现代云原生平台。 一、Kubernetes核心概念 1. **Pod**:Kubernetes的基础单元,可以包含一个或多个紧密关联...
k8s-security:Kubernetes安全说明和最佳实践
02-03
Kubernetes安全 此仓库是kubernetes安全资料和研究的集合。 该研究是在受训期间进行的。 总览 关于kubernetes功能和配置错误的深入研究。 以下所有文件的来源 “必须做” /最佳做法清单,这些清单使攻击者的生活...
psp-allow-privilege-escalation:Kubewarden Pod安全策略,用于控制allowPrivilegeEscalation的使用
04-15
持续集成 执照 该Kubewarden策略替代了Kubernetes Pod安全策略,该策略限制了的使用。 政策如何运作 此策略拒绝启用了allowPrivilegeEscalation安全上下文的所有allowPrivilegeEscalation 。 该策略还会检查initContainers 。 例子 由于nginx容器已启用allowPrivilegeEscalation因此以下Pod将被拒绝: apiVersion : v1 kind : Pod metadata : name : nginx spec : containers : - name : nginx image : nginx securityContext : allowPrivilegeEscalation : true - name : sidecar
Kubernetes (k8s)最佳安全实践指南
Enweitech Software Works
11-27 1303
对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性,只要用好了这些选项,就可以将绝大部分的攻击抵挡在门外。为了更容易上手,我将它们总结成了几个最佳实践配置,大家看完了就可以开干了。当然,本文所述的最佳安全实践仅限于 Pod 层面,也就是容器层面,于容器的生命周期相关,至于容器之外的安全配置(比如操作系统啦、k8s 组件啦),以后有机会再唠。 1. 为容器配置 Sec
Kubernetes:创建和分配Kubernetes Pod安全策略
琦彦
05-19 3584
Pod Security Policies(PSP) Pod Security Policies(PSP)是集群级的Pod安全策略,自动为集群内的Pod和Volume设置Security Context。 使用PSP需要API Server开启extensions/v1beta1/podsecuritypolicy,并且配置PodSecurityPolicyadmission控制器。 Pod的安全策略配置 Pod 安全策略是集群级别的资源,它能够控制 Pod 运行的行为,以及它具有访问什么的能.
带你玩转kubernetes-k8s(第41篇:深入分析集群安全机制四[Secret, PodSecurityPolicy])
坚持的道路注定孤独
08-14 4217
Secret私密凭据 上一节提刀Secret对象,Secret的主要作用是保管私密数据,比如密码、OAuth Tokens、 SSH Key等信息。将这些私密信息放在Secret对象中比直接放在Pod或Docker Image中更安全,也更便于使用和分发。 下面的例子用于创建一个Secret: apiVersion: v1 kind: Secret metadata: n...
Kubernetes安全】1. SecurityContext 安全上下文
爱死亡机器人
09-11 7990
简介 安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID).来判定对对象(例如文件)的访问权限 安全性增强的 Linux(SELinux):为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序文件来限制单个程
K8S Pod 新安全策略 Pod Security Admission 介绍 | K8S Internals 系列第一期
BoCloud博云
04-06 2666
容器编排之争在 Kubernetes 一统天下局面形成后,K8S 成为了云原生时代的新一代操作系统。K8S 让一切变得简单了,但自身逐渐变得越来越复杂。【K8S Internals 系列专栏】围绕 K8S 生态的诸多方面,将由博云容器云研发团队定期分享有关调度、安全、网络、性能、存储、应用场景等热点话题。希望大家在享受 K8S 带来的高效便利的同时,又可以如庖丁解牛般领略其内核运行机制的魅力。
保障K8s部署中的安全
Free雅轩的博客
10-16 399
开发人员需要了解如何在容器化应用程序中嵌入控件,以及如何启用运行时保护机制以阻止黑客访问容器化系统。 Kubernetes是当前流行和常用的容器编排工具之一。Kubernetes工作负载就像简单的nginx服务器或cron作业一样执行的应用程序。Kubernetes部署成为了一种最常用的工作负载,因为它可以轻松更新、扩展和管理。 最近发布的Kubernetes Hardening指南是一个很好的资源,它提供了有关如何有效保护Kubernetes的指导。该指南提供的信息清楚地表明,保护和强化Kube
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值