如何使用Pod安全策略強(qiáng)化K8S安全

如何使用Pod安全策略強(qiáng)化K8S安全，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

什么是Pod安全策略？

Kubernetes Pod安全策略（PSP）是Kubernetes安全版塊中極為重要的組件。Pod安全策略是集群級(jí)別的資源，用于控制Pod安全相關(guān)選項(xiàng)，并且還是一種強(qiáng)化Kubernetes工作負(fù)載安全性的機(jī)制。Kubernetes平臺(tái)團(tuán)隊(duì)或集群運(yùn)維人員可以利用它來(lái)控制pod的創(chuàng)建以及限制特定的用戶、組或應(yīng)用程序可以使用的功能。

舉個(gè)簡(jiǎn)單的例子，使用PSP你可以：

• 防止特權(quán)Pod啟動(dòng)并控制特權(quán)升級(jí)。

• 限制Pod可以訪問的主機(jī)命名空間、網(wǎng)絡(luò)和文件系統(tǒng)

• 限制可以運(yùn)行pod的用戶/組。

• 限制Pod可以訪問的Volume

• 限制其他參數(shù)，如運(yùn)行時(shí)配置文件或只讀根文件系統(tǒng)

在本文中，我們將向你展示在Rancher中如何通過啟用一個(gè)簡(jiǎn)單的Pod安全策略來(lái)強(qiáng)化你的Kubernetes安全。

Pod安全策略真的可以增強(qiáng)K8S的安全性嗎？

是的，Pod安全策略確實(shí)可以增強(qiáng)Kubernetes的安全性。它提供了Kubernetes原生控制機(jī)制，可以防止威脅而不影響性能，這與agent必須攔截主機(jī)上的每個(gè)動(dòng)作有所區(qū)別。

如果你尚未在集群中啟用PSP（或執(zhí)行訪問控制之類的等效方法），則Kubernetes用戶可能會(huì)生成特權(quán)集群。這將會(huì)被惡意利用，例如提升特權(quán)進(jìn)而突破容器隔離并訪問其他Pod/服務(wù)。

如果沒有限制Pod spec特權(quán)的機(jī)制，攻擊者可以通過docker命令執(zhí)行任何操作，例如，運(yùn)行特權(quán)容器、使用節(jié)點(diǎn)資源等。

想要快速驗(yàn)證以上說法，你可以執(zhí)行以下腳本（千萬(wàn)不要在生產(chǎn)集群上操作）：

? ./kubectl-root-in-host.sh
bash-4.4# whoami
root
bash-4.4# hostname
sudo--alvaro-rancher-rancheragent-0-all

你可以獲得對(duì)Kubernetes節(jié)點(diǎn)的即時(shí)root訪問權(quán)限。是不是有點(diǎn)后怕呢？

通過遵循最小特權(quán)的概念，你可以安全地在集群中實(shí)現(xiàn)PSP，并確保在Kubernetes Pod或工作負(fù)載中沒有不需要的權(quán)限。除了Kubernetes安全的核心理念外，最小特權(quán)原則也是一種通用的安全最佳實(shí)踐，同時(shí)還是諸如PCI、SOC2或HIPAA等合規(guī)性標(biāo)準(zhǔn)的核心要求。

總結(jié)一下：

• PSP將為Pod授予的安全功能提供默認(rèn)安全約束，該pod可以是集群上任何用戶創(chuàng)建的

• PSP還能通過滿足特定合規(guī)性基準(zhǔn)的要求幫助你驗(yàn)證合規(guī)性

最小特權(quán)是一個(gè)概念，也是一個(gè)實(shí)踐，可以將用戶、賬號(hào)和計(jì)算過程的訪問權(quán)限限制為僅執(zhí)行日常合法活動(dòng)所需要的資源。

在你的集群中啟用Pod安全策略

在Kubernetes中Pod安全策略可以實(shí)現(xiàn)為Admission Controller。要在你的集群中啟用PSP，確保PodSecurityPolicy在enable-admission-plugins列表內(nèi)，作為參數(shù)傳遞給你的Kubernetes API配置的參數(shù)：

--enable-admission-plugins=...,PodSecurityPolicy

提供托管Kubernetes集群（你無(wú)法直接訪問API配置）的云提供商通常會(huì)提供高級(jí)設(shè)置，用戶可以在整個(gè)集群范圍內(nèi)啟用PSP。在其他情況下，你可能需要編輯/etc/kubernetes/manifests/kube-apiserver.yaml文件，并將其添加到相應(yīng)的命令參數(shù)中。

在Rancher中，你可以在UI上編輯集群來(lái)輕松啟用PSP：

你可以選擇默認(rèn)應(yīng)用哪個(gè)Pod安全策略。在本例中，我們選擇了restricted（受限）。

使用一個(gè)Admission controller來(lái)啟用PSP的好處在于它提供了一個(gè)即時(shí)預(yù)防機(jī)制，甚至可以在調(diào)度之前停止部署過度特權(quán)的Pod。缺點(diǎn)就是你啟用一個(gè)PSP之后，每個(gè)pod都需要經(jīng)過PSP的批準(zhǔn)，使其部署和過渡更加困難。

Rancher中啟用基本Pod安全策略demo

在這一部分中，我們將逐步演示如何通過Rancher dashboard在集群中啟用Pod安全策略，并在默認(rèn)情況下使用受限策略，并了解如何防止創(chuàng)建特權(quán)Pod。

PSP對(duì)象本身是將要應(yīng)用于pod specs的要求和約束的列表。PSP YAML如下所示：

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: example
spec:
  allowedCapabilities:
    - NET_ADMIN
    - IPC_LOCK
  allowedHostPaths:
    - pathPrefix: /dev
    - pathPrefix: /run
    - pathPrefix: /
  fsGroup:
    rule: RunAsAny
  hostNetwork: true
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  privileged: true
  runAsUser:
    rule: RunAsAny
  volumes:
    - hostPath
    - secret

以上PSP有很多允許權(quán)限，例如：

• 它允許pod可以與其他Linux功能（如NET_ADMIN和IPC_LOCK）一起運(yùn)行

• 它允許從主機(jī)安裝敏感路徑

• Pod可以作為特權(quán)運(yùn)行

瀏覽Kubernetes官方文檔可以獲取可用的PSP控件及其默認(rèn)值的完整列表：

https://kubernetes.io/docs/concepts/policy/pod-security-policy/

讓我們來(lái)看一個(gè)示例，說明如何防止特權(quán)Pod在集群中運(yùn)行。

在集群中啟用PSP之后，請(qǐng)嘗試部署類似的pod：

deploy-not-privileged.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: not-privileged-deploy
  name: not-privileged-deploy
spec:
  replicas: 1
  selector:
    matchLabels:
      app: not-privileged-deploy
  template:
    metadata:
      labels:
        app: not-privileged-deploy
    spec:
      containers:
        - image: alpine
          name: alpine
          stdin: true
          tty: true
          securityContext:
            runAsUser: 1000
            runAsGroup: 1000

它可以立即使用，因?yàn)槲覀兏嬖VRancher啟用具有受限安全策略的PSP，該策略允許沒有特權(quán)的pod正常運(yùn)行，像上面那樣。

檢查默認(rèn)PSP中的內(nèi)容，如下所示：

$ kubectl get psp restricted-psp -o yaml

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  annotations:
    serviceaccount.cluster.cattle.io/pod-security: restricted
    serviceaccount.cluster.cattle.io/pod-security-version: "1960"
  creationTimestamp: "2020-03-04T19:56:10Z"
  labels:
    cattle.io/creator: norman
  name: restricted-psp
  resourceVersion: "2686"
  selfLink: /apis/policy/v1beta1/podsecuritypolicies/restricted-psp
  uid: 40957380-1d44-4e43-9333-91610e3fc079
spec:
  allowPrivilegeEscalation: false
  fsGroup:
    ranges:
      - max: 65535
        min: 1
    rule: MustRunAs
  requiredDropCapabilities:
    - ALL
  runAsUser:
    rule: RunAsAny
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    ranges:
      - max: 65535
        min: 1
    rule: MustRunAs
  volumes:
    - configMap
    - emptyDir
    - projected
    - secret
    - downwardAPI
    - persistentVolumeClaim

或者在Rancher的全局視角檢查。選擇【安全>Pod安全策略】并點(diǎn)擊受限的選項(xiàng)。

該P(yáng)SP應(yīng)該允許任何pod，只要它以標(biāo)準(zhǔn)用戶（不是root）身份運(yùn)行，并且不需要任何特權(quán)和特殊功能。

有關(guān)PSP和RBAC的其他內(nèi)容，我們將在以后進(jìn)行探討。為了簡(jiǎn)單起見，加上Rancher已經(jīng)為你設(shè)置了必需的綁定，因此我們現(xiàn)在略過這一部分。讓我們嘗試部署一個(gè)特權(quán)pod，例如來(lái)自kubectl-root-in-host.sh腳本的那個(gè)pod：

deploy-privileged.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: privileged-deploy
  name: privileged-deploy
spec:
  replicas: 1
  selector:
    matchLabels:
      app: privileged-deploy
  template:
    metadata:
      labels:
        app: privileged-deploy
    spec:
      containers:
        - image: alpine
          name: alpine
          stdin: true
          tty: true
          securityContext:
            privileged: true
      hostPID: true
      hostNetwork: true

該pod將不會(huì)進(jìn)入集群

 Warning  FailedCreate  2s (x12 over 13s)  replicaset-controller  Error creating: pods "privileged-deploy-7569b9969d-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used spec.securityContext.hostPID: Invalid value: true: Host PID is not allowed to be used spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed]

PodSecurityPolicy admission controller將不允許創(chuàng)建這個(gè)pod，因?yàn)楝F(xiàn)有的PSP不允許使用“hostPID”、“hostNetwork” 或 “privileged”。

在本文中我們通過在Rancher環(huán)境中啟用一個(gè)簡(jiǎn)單的Pod安全策略來(lái)增強(qiáng)你的Kubernetes安全。通過使用默認(rèn)的受限PSP，我們確保pod只能在不需要擴(kuò)展安全權(quán)限的情況下運(yùn)行。最后，我們嘗試部署一個(gè)擁有眾多權(quán)限的pod，并且失敗了，因?yàn)楝F(xiàn)有的PSP阻止了它被調(diào)度到集群上。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。