Kubernetes Deployment 的安全最佳实践

最新推荐文章于 2023-03-14 16:41:20 发布
最新推荐文章于 2023-03-14 16:41:20 发布
阅读量247 收藏
点赞数
文章标签: 大数据 操作系统 运维
原文链接:https://segmentfault.com/a/1190000006989812
版权

今天的文章由来自 Aqua Security 的 Amir Jerbl 和 Micheal Chemy 撰写,在不同用户案例中搜集到的数据基础上,描述了 Kubernetes Deployment 的安全最佳实践。

Kubernetes 提供了很多配置来提升应用程序的安全性。但是配置这些需要深入了解 Kubernetes 的初始知识以及一些安全的需求。我们在这里要强调的最佳实践跟容器的生命周期相匹配:创建,运送以及运行,以及为 Kubernetes 特别定制。在谷歌 GCE 上,我们的用 Kubernetes 来部署我们的 SaaS 服务 。

对于部署安全的 Kubernetes 应用程序,我们推荐以下:

确认镜像是没有缺陷

运行没有缺陷的容器会使你的环境面临轻易妥协的威胁。很多攻击都可以简单地通过确认软件组件没有缺陷来减轻。

实施连续安全缺陷扫描
容器可能包含过时的已知缺陷的程序包(CVEs)。而且每天都有缺点被暴露出来,所以这并不是一个“一次性”进程。作为一个连续评估镜像不间断的程序,这个程序对于确保所需安全状态非常重要。

你的环境需要定期申请安全更新
一旦运行中的容器被发现有缺陷,你需要做的就是更新资源镜像,重新部署容器。尝试避免直接更新到运行的容器,因为这样可能会破坏镜像跟容器之间的关系。有了 Kubernetes 的滚动升级功能,升级容器变得十分容易——这个功能可以通过升级镜像到最新版本来慢慢更新运行的应用程序。

确保你的环境中只使用授权的镜像

如果没有程序来确认只有镜像依附在组织机构的策略上,那么组织机构就容易受到有缺陷或者是恶意的容器的攻击。

从未知的资源里下载运行镜像是十分危险的。这就相当于在生产环境的服务器上运行一个未知软件提供商的产品一样。所以,不要那么做。

使用私有库来存储规定镜像——确保你只 push 规定的镜像到这些库。这已经把运行的领域缩小了,减少了可进入管道的数量。

创建集成安全评估(比如漏洞扫描)的 CI 管道,使之成为创建进程的一部分。

CI 管道要确保代码被审查过才能够用来创建镜像。镜像创建好了,就要扫描有没有安全缺陷,如果没有的话,那么镜像就会被 push 到一个私有库,在这个私有库,部署到产品就完成了。安全评估要是失败的话,管道也会相应失败,这样就避免了安全质量不好的镜像被 push 到镜像仓库。
在 Kubernetes 中还有很多需要为镜像授权插件做的工作(期望在 Kubernetes1.4中能够完成),这就避免了运送未授权的镜像。

限制直接访问 Kubernetes 节点

需要限制 SSH 访问 Kubernetes 节点,减少未授权访问主机资源的风险。同时要求用户使用“kubectl exec”,它可以直接访问容器环境,而不需要访问主机。

可以使用 Kubernetes 授权插件来远程控制用户访问资源。这也就意味着要为特定的 namespace,容器和操作来定义细粒度访问控制规则。

在资源间创建管理的边界

限制用户权限的范围能够控制错误或者恶意活动的发生。Kubernetes 的 namespace 允许把创建的资源分割成逻辑的 group。在一个 namespace 中创建的资源在其它的 namespace 中不可见。默认设置下,每个由 Kubernetes 集群用户创建的资源都运行在一个默认 namespace 中,名为 default。你可以创建额外的 namespace,并在该 namespace 中创建资源,然后使用这些资源。你也可以使用 Kubernetes 授权插件来创建策略,来隔离访问不同用户间的 namespace 资源。

比如:以下就是策略允许“alice”从 namespace“fronto”阅读 pods。

定义资源配额

运行资源未装订的容器,你的系统可能面临陷入 DoS 或者“noisy neighbor”场景的风险。为了避免,或者说是将这些风险最小化,你需要定义资源配额。默认设置下,所有在 Kubernetes 集群中的资源都是用 unbounded 的 CPU 和内存要求/限制来创建的。为了限制 Pod 允许使用的 cpu 和 memory 资源,你可以创建资源配额策略,并把这个策略应用到 Kubernetes 的 namespace 上。

以下是 namespace 资源配额定义的一个例子,它限制 namespace 中 pod 的数量不能超过4个,限制他们的 CPU 请求在1到2个之间,内存请求在1GB 到2GB 之间。

compute-resource.yaml:

分配 resource 配额到 namespace:

实施网络分割

在同一个 Kubernetes 集群上运行不同的程序会有风险,就是应用程序可能会受到损坏,然后攻击相邻的程序。容器只能够跟确认的容器进行交流,所以网络分割显得很重要。

Kubernetes 部署面临的一个挑战就是,在 pod,service 和容器间创建分割。这个挑战的原因就是容器网络身份(IPs)的动态特性,当然,容器既可以在同一个节点中交流,也可以在不同节点间交流。

谷歌云平台的用户能够从自动防火墙规则中受益,避免跨集群交流。可以使用网络防火墙或者 SDN 解决方法在内部部署相似的实施。Kubernetes 的 Network SIG(兴趣组)在这方面的做了一些工作,很大程度上提升了 pod 之间的交流的策略。新的网络策略 API 应该在 pods 周围处理创建防火墙规则,限制容器化的网络访问。

以下的例子就是,为“backend”pods 控制网络的网络策略,只允许本地网络访问“frontend”pods:

为你的 pods 和容器申请安全环境

当设计你的容器和 pods 的时候,需要确认给你的 pods,容器和数据卷配置了SecurityGroup。SecurityGroup 可以在 yaml 文件中定义。它控制分配到 pod/container/volume 的安全参数。一些重要的参数如下图所示:

下图是 pod 定义的一个例子:

如果允许有提升权限(--privilege)的容器,你应该考虑使用“DenyEscalatingExec”这个 Admission Controller。这个 Controller 拒绝在 Pod 上运行 exec 和 attach 命令,并且在提升 Pod 的权限时,只允许该 Pod 在宿主机上访问。包括那些以特权模式运行的 Pod,能够访问主机 IPC namespace 的 Pod,以及能够访问主机 PID namespace 的 Pod。

日志记录

Kubernetes 提供基于集群的日志,支持把日志推送到一个中心化的 log hub。创建完集群的时候,使用 Fluentd 代理来收集每个容器的标准输出,标准错误输出。
当集群创建成功以后,每个容器产生的日志(标准输出和标准错误输出)就可以被每个节点上的 Fluent Agent 采集,然后推送到 GoogleStackDriver Logging 或者 Elasticsearch,然后用户可以用 Kibana 来看这些日志。

结论

Kubernetes 提供很多选择来创建安全部署。但是并不存在一个对策解决所有问题这样的好事,所以需要对这些选项有一定的熟悉,同样,也要理解他们是如何提高你的程序的安全性的。
我们推荐实施本文中强调的最佳实践,并且使用 Kubernetes 中灵活的配置功能将安全加工到连续的整合管道,将整个进程用无缝安全进行自动化。

原文链接
转载请联系我们 -3-

weixin_34232363
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何保护K8S中的Deployment资源对象
u012516914的专栏
05-04 477
对于在共享基础架构上运行的容器化应用程序,安全性至关重要。随着越来越多的组织将其容器流量负载转移到 Kubernetes,K8s 已成为容器编排的首选平台。随着这一趋势的出现,越来越多的威胁和新的攻击方式层出不穷。在 Kubernetes 中,安全性有两个方面:集群安全性和应用程序安全性。在这篇文章中,我们将探讨如何保护Kubernetes Deployment资源类型和...
deployment的yaml字段详解
liulunan_lln的博客
10-17 221
metadata: # 资源的元数据/属性annotations: # 自定义注释列表name: alert-webui # 资源的名字,在同一个namespace中必须唯一fieldsV1:.: {}'f:spec':.: {}.: {}'f:spec':.: {}.: {}.: {}.: {}.: {}.: {}.: {}.: {}.: {}.: {}.: {}fieldsV1:'f:spec':'f:spec':fieldsV1:.: {}.: {}
k8s可修改的sysctl内核参数及案例
运维求生之路
10-29 3686
官网: https://kubernetes.io/zh/docs/tasks/administer-cluster/sysctl-cluster/ 启用非安全的 Sysctl 参数 –allowed-unsafe-sysctls 设置 Pod 的 Sysctl 参数 目前,在 Linux 内核中,有许多的 sysctl 参数都是 有命名空间的 。 这就意味着可以为节点上的每个 Pod 分别去设置它们的 sysctl 参数。 在 Kubernetes 中,只有那些有命名空间的 sysctl 参数可以通过 P
k8s安全相关特性汇总
qq_22548549的博客
12-13 701
k8s安全相关特性汇总,securityContext, podSecurityPolicy和NetworkPolicy
云原生工程师-5.k8s控制器-Replicaset和Deployment
qq_16688317的博客
03-14 193
k8s控制器-Replicaset和Deployment
Docker:我的项目和docker最佳实践| docker-compose | 码头工人| Kubernetes
05-12
码头工人docker文件和容器化技术可创建映像并管理服务器上的容器。生产中的Docker限制您的同时创新(范围固定) 解决方案,您可能不需要第一天: 全自动CI / CD 动态性能扩展装箱全部或不装箱从持久性数据开始首先要...
Kubernetes开源书.pdf
最新发布
03-06
包括Pod、Deployment、Service、StatefulSet等核心资源对象,并通过实例一步步指导读者从环境搭建到应用部署、服务发现、滚动更新、存储管理、网络配置以及安全策略等实战操作,涵盖了Kubernetes在生产环境中的关键...
kubernetes-learning.pdf
06-04
Dockerfile 最佳实践 Kubernetes 基础 Kubernetes 初体验 基本概念与组件 kubeadm 搭建集群 使⽤ kubeadm 搭建集群环境 安装 Dashboard 插件 17.1 7.2 7.3 7.4 7.5 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 8.10 9.1 ...
基石:具有GitOps工作流程的生产Kubernetes集群自动化
02-03
Bedrock基于GitOps工作流,基于在与Kubernetes集群进行客户部署的数十个部署中发现的最佳实践,提供了用于运行生产Kubernetes集群的模式,实现和自动化。 基岩可以帮助您: 在多个集群中定义和维护基础架构部署。...
部署Kubernetes Pod?教你五招!
01-07
下面是在Kubernetes中部署pod之前要遵循的五个最基本的最佳实践。 1) 选择最合适的Kubernetes控制器  虽然部署和运行一个容器镜像(作为一个通用pod)是很有诱惑力的,但是你应该根据工作负载特性选择正确的控制器...
Kubernetes Deployment & Security Patterns
09-09
Kubernetes is one of the largest open source projects in the world, according to data from GitHub. It’s so big that the tools to manage the development and deployment of Kubernetes are constantly catching up to the momentum behind the open source technology. This continual evolution makes Kubernetes deployment a bit of an unsteady, fast-moving target. Still, the Kubernetes movement is the center of attention for organizations at the leading edge of technology innovation and adoption. Container technologies remain of great importance, but now the deepest issues are about scaling containers in orchestration environments. Containers are considered in context with Kubernetes. There is no other standard to speak of that can support the market scale that will be needed for containers to be used in production. The only standard is Kubernetes. Others are supporters of the technology, but only Kubernetes has enough wind behind it to steer the cloud-native technology market.
repokid:分布式,高速部署的AWS Least Privilege
02-04
Repokid Repokid使用提供的Access Advisor删除从AWS账户中IAM角色的内联策略中授予对未使用服务的访问权限的权限。 入门 安装 mkvirtualenv repokid git clone [email protected]:Netflix/repokid.git cd repokid pip install -e . repokid config config.json DynamoDB 您将需要一个名为repokid_roles的表(在配置文件中的dynamo_db中指定帐户和端点)。 该表应具有以下属性: RoleId (字符串)作为主分区键,无主排序键 名
k8s - 控制器(deployment
栋院
03-15 1950
通过kind为Pod定义的资源是一个自主式pod,如果pod被删除了,pod不会自我恢复,如果连yaml文件也找不到了,那只能卷铺盖跑路了。Replicaset(副本控制器)创建的pod,可以管理pod维持在固定的个数,并可以实现pod的动态扩缩容。Deployment 功能更加强大,在replicaset的基础上增加了滚动更新等功能。 Replicaset k8s中的一种副本控制器,主要作用是控制其管理的pod,使pod副本数始终维持在一定数量,他会监听这些pod,故障会重启,pod减少会创建。 组
k8s中的deployment
热门推荐
wang959512421的博客
12-27 1万+
Deployment是k8s中用来管理发布的控制器,在开发的过程中使用非常频繁,本篇文章主要介绍deployment相关的使用和原理。 声明式API 最终一致性 水平触发 资源对象 。。。 一,Deployment的作用 定义一组pod的期望数量,controller会维持Pod的数量和期望的一致(其实deployment是通过管理rs的状态来间接管理pod) 配置Pod的发布方式,controller会按照给定的策略去更新pod资源,以此来保证更新过程中可用的pod数量和不可...
kubernetes(k8s)yaml文件详解
weixin_33752045的博客
10-30 2900
#yaml格式的pod定义文件完整内容: apiVersion:v1#必选,版本号,例如v1 kind:Pod#必选,Pod metadata:#必选,元数据 name:string#必选,Pod名称 namespace:string#必选,Pod所属的命名空间 labels:#...
kubernetes session保持等设置
bingzhilingyi的博客
04-09 1万+
session保持 如何在service内部实现session保持呢?当然是在service的yaml里进行设置啦。 在service的yaml的sepc里加入以下代码: sessionAffinity: ClientIP sessionAffinityConfig: clientIP: timeoutSeconds: 10800 这样就开启了session保持。下...
使用kubectl的Deployment实践练习创建App
weixin_34208283的博客
12-09 1371
2019独角兽企业重金招聘Python工程师标准>>> ...
K8s安全总结
liukuan73的专栏
12-05 8777
1. 预备知识1.1 kubernetes api相关知识Kubernetes API是集群系统中的重要组成部分,Kubernetes中各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)中,Kubernetes集群中的各部件之间通过该API接口实现解耦合,同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kub
容器环境的JVM内存设置最佳实践
终极冥帝
01-19 2817
Docker和K8S的兴起,很多服务已经运行在容器环境,对于java程序,JVM设置是一个重要的环节。这里总结下我们项目里的最佳实践。 Java Heap基础知识老幺 https://www.laoyao.org 默认情况下,jvm自动分配的heap大小取决于机器配置,比如我们到一台64G内存服务器: java -XX:+PrintFlagsFinal -version | grep -...
kubernetes 实践指南
07-30
指南还介绍了一些常见的Kubernetes最佳实践,以帮助用户提高应用程序的性能和可靠性。 最后,Kubernetes实践指南还包括了一些使用Kubernetes的示例和案例研究。它展示了如何利用Kubernetes来构建和管理各种类型的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值