Kubernetes 安全最佳實踐與風險防護

8 分鐘閱讀

Kubernetes 叢集的安全性至關重要,本文將探討如何應對潛在風險並實施最佳安全實踐。從服務帳戶的最小許可權組態、Kubernetes 儀錶板的停用,到繼承授權的關閉和叢集網路策略的建立,都是強化叢集安全性的關鍵步驟。此外,Secret 的安全管理也是不可忽視的一環,透過 RBAC 機制和 base64 編碼,可以有效保護敏感資訊。文章也涵蓋了 KubeBench 和 Kubesec 等安全工具的使用,以及 kubectl 外掛如 ksniff 和 kubectl-trace 的應用,以協助開發者和 DevOps 團隊更有效地管理和監控叢集安全。

Kubernetes 安全最佳實踐

Kubernetes 已成為大規模容器化應用程式實作的標準方式,幫助處理複雜的容器佈署。隨著 Kubernetes 的成長與演進,其部分過度行為可能會從內部進行控制。然而,有些人並不期待 Kubernetes 變得更容易使用,並且已經針對許多 Kubernetes 在生產環境中的常見問題釋出了自己的解決方案。

處理 Kubernetes 中的安全風險

在將應用程式與 Kubernetes 佈署到生產環境時,主要的安全策略包括:

  1. 從開發早期階段整合安全性:將安全性整合到軟體開發過程的每個階段,避免將安全性設定留到最後一步。
  2. 考慮使用商業化的 Kubernetes 平台:商業化的 Kubernetes 平台能夠提供快速的結構性回應,以應對任何威脅或問題。Kubernetes 將快速更新任何漏洞,確保公司始終擁有最新的安全更新。
  3. 不要信任舊有的工具和實踐:攻擊者更新的速度比軟體更快,因此相同的措施可能很快就會過時。不能假設傳統的安全工具能夠提供保護。有許多開源工具可以評估 Kubernetes 叢集或對叢集和節點進行滲透測試。

使用 Kubernetes 提升容器安全性

隨著 Kubernetes 的快速發展,經常會有新的安全功能和組態出現。以下是一些提升 Kubernetes 引擎叢集安全性的方法:

最佳安全實踐

  1. 為服務帳戶使用最小許可權原則:減少潛在漏洞或資料被洩露的影響。如果某個元件被洩露,將更難提升許可權。

    $ gcloud iam service-accounts create "${SA_NAME}" \
--display-name="${SA_NAME}"
$ gcloud projects add-iam-policy-binding "${PROJECT_ID}" \
--member "serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
--role roles/logging.logWriter
$ gcloud projects add-iam-policy-binding "${PROJECT_ID}" \
--member "serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
--role roles/monitoring.metricWriter
$ gcloud projects add-iam-policy-binding "${PROJECT_ID}" \
--member "serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
--role roles/monitoring.viewer

    內容解密:

    • 上述命令建立了一個具有最低許可權的 GCP 服務帳戶,用於操作 Kubernetes 引擎。
    • roles/logging.logWriterroles/monitoring.metricWriterroles/monitoring.viewer 是執行 Kubernetes 叢集所需的最低許可權角色。
    • 這些命令確保服務帳戶僅具備必要的許可權,降低了潛在的安全風險。

  2. 停用 Kubernetes 儀錶板:雲端控制檯提供了許多相同的功能,因此在執行 Kubernetes 引擎時不需要這些許可權。

    $ gcloud container clusters update "${CLUSTER_NAME}" --update-addons=KubernetesDashboard=DISABLED

    內容解密:

    • 此命令停用了 Kubernetes 網頁使用者介面,降低了潛在的攻擊面。
    • 停用 Kubernetes 儀錶板可以減少未經授權的存取風險。

  3. 停用繼承授權:確保只有特定的角色能夠存取特定的資源。

  4. 建立叢集網路策略:定義網路規則以控制 Pod 之間的通訊。

管理 Secrets

在 Kubernetes 中,Secret 是任何不應該被叢集中其他應用程式或操作員知道的資訊,例如密碼、證書或 API 金鑰。授權管理是透過根據角色的存取控制(RBAC)來完成的,只有具備特定角色的應用程式才能存取特定型別的資源。

程式碼範例:建立 Secret

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: <base64 encoded username>
  password: <base64 encoded password>

內容解密:

  • 此 YAML 檔案定義了一個名為 mysecret 的 Secret。
  • data 部分包含了需要被保護的資料,例如使用者名稱和密碼,這些資料必須是 base64 編碼的。
  • type: Opaque 表示這是一個不透明的 Secret,Kubernetes 不會對其內容進行任何驗證。

安全性考量

  1. 使用最小許可權原則:確保每個元件僅具備執行其功能所需的最低許可權。
  2. 定期更新和修補軟體:保持軟體和依賴項的最新狀態,以修復已知的安全漏洞。
  3. 監控和稽核叢集活動:使用工具監控叢集活動,並稽核日誌以檢測潛在的安全問題。

Kubernetes 安全強化與漏洞防護

在 Kubernetes 1.8 版本中,根據屬性的存取控制(ABAC)預設被停用,同時引入了一項新的功能——根據角色的存取控制(RBAC)。RBAC 提供了一種新的機制,能夠將許可權和特權分配給角色,而非特定的使用者。

建立具有安全設定的 Kubernetes 叢集

要建立一個符合前述建議的新叢集,可以執行以下指令:

$ gcloud container clusters create "${CLUSTER_NAME}" \
--service-account="${SANAME}@${PROJECTID}.iam.gserviceaccount.com" \
--no-enable-legacy-authorization \
--disable-addons=KubernetesDashboard

內容解密:

  • --no-enable-legacy-authorization:停用舊版授權機制,確保使用更安全的 RBAC。
  • --disable-addons=KubernetesDashboard:停用 Kubernetes Dashboard,因為它可能引入安全風險。

建立叢集網路策略

建立網路策略對於控制叢集內 Pod 與服務之間的通訊至關重要。網路策略的應用使得潛在攻擊者更難以在叢集內獲得高許可權。

啟用網路策略

可以使用以下指令在建立叢集時啟用網路策略:

$ gcloud container clusters create "${CLUSTER_NAME}" \
--project="${PROJECT_ID}" \
--zone="${ZONE}" \
--enable-network-policy

內容解密:

  • --enable-network-policy:啟用網路策略,允許對 Pod 之間的通訊進行細粒度控制。

KubeBench 安全檢測

KubeBench 是一款 Kubernetes 安全掃描工具,能夠根據 CIS Kubernetes Benchmark 執行安全檢查,消除約 95% 的組態缺陷。

使用 KubeBench

KubeBench 支援多個版本的 Kubernetes(1.6、1.7、1.8 和 1.11),並且可以透過容器執行:

$ docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest

內容解密:

  • --pid=host:允許容器存取主機的 PID 名稱空間。
  • -v /etc:/etc:ro-v /var:/var:ro:掛載主機的 /etc/var 目錄到容器中,以唯讀模式進行安全檢查。

驗證工作節點與主節點

可以使用 kubectl 指令在工作節點和主節點上執行 KubeBench。

在工作節點上執行 KubeBench

$ kubectl run --rm -i -t kube-bench-node --image=aquasec/kube-bench:latest --restart=Never --overrides="{ \"apiVersion\": \"v1\", \"spec\": { \"hostPID\": true } }" -- node --version 1.8

在主節點上執行 KubeBench

$ kubectl run --rm -i -t kube-bench-master --image=aquasec/kube-bench:latest --restart=Never --overrides="{ \"apiVersion\": \"v1\", \"spec\": { \"hostPID\": true, \"nodeSelector\": { \"kubernetes.io/role\": \"master\" }, \"tolerations\": [ { \"key\": \"node-role.kubernetes.io/master\", \"operator\": \"Exists\", \"effect\": \"NoSchedule\" } ] } }" -- master --version 1.8

內容解密:

  • --overrides:指定容器的額外設定,例如 hostPIDnodeSelector,以確保 KubeBench 能夠正確存取節點。

Kubernetes 漏洞處理

2018 年發現的一個重大漏洞(CVE-2018-1002105)影響了 Kubernetes API 伺服器,允許已認證的使用者透過特製的代理請求提升許可權。

修復漏洞

修復此漏洞的方法是將 Kubernetes 更新至已修補的版本(v1.10.11、v1.11.5、v1.12.3 和 v1.13.0-rc.1)。

Kubernetes 安全專案

Kube-hunter

Kube-hunter 是由 Aqua Security 開發的 Python 指令碼,用於分析 Kubernetes 叢集中的潛在漏洞。

# 使用 Kube-hunter 進行內部掃描
$ kube-hunter --internal

內容解密:

  • --internal:對叢集內部節點進行掃描,以檢測潛在的安全漏洞。

Kubernetes安全管理與工具整合

在現代化的容器化佈署中,Kubernetes已成為不可或缺的基礎設施。然而,隨著其重要性的提升,安全問題也日益受到關注。本篇文章將探討Kubernetes的安全管理原則以及相關工具的使用,協助開發者與DevOps團隊提升叢集的安全性與效能。

Kubernetes安全風險分析工具:Kubesec

Kubesec是一個用於分析Kubernetes資源安全風險的強大工具。它提供了以下主要功能:

  • 風險量化評估:針對Kubernetes資源進行安全風險評估
  • 應用程式掃描:支援對佈署和Pod進行安全檢查
  • 多種使用模式:可獨立使用或作為kubectl外掛
  • 容器化佈署:提供Docker容器映像檔

Kubesec使用範例

# 使用Docker執行Kubesec
docker run -i kubesec/kubesec:v2 scan /dev/stdin <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  containers:
  - name: test-container
    image: nginx:latest
EOF

內容解密:

  1. 使用Docker執行Kubesec容器進行安全掃描
  2. 將Kubernetes資源定義透過標準輸入傳遞給Kubesec
  3. Kubesec分析Pod定義並回報潛在的安全風險

kubectl外掛增強Kubernetes管理

Kubernetes的命令列工具kubectl提供了豐富的外掛機制,可以擴充套件其功能。以下介紹幾個重要的安全相關外掛:

  1. kubectl-trace:根據bpftrace實作對Kubernetes叢集的追蹤和分析

    • 可設定追蹤點進行深入的基礎設施分析
    • 支援在節點和Pod上設定控制點

  2. kubectl-debug:用於除錯正在執行的容器

    • 在目標容器中執行新的除錯容器
    • 分享PID、網路、使用者和IPC名稱空間

  3. ksniff:網路流量分析工具

    • 結合tcpdump和Wireshark進行流量分析
    • 對微服務之間的通訊進行故障排除

ksniff使用範例

# 使用ksniff捕捉特定Pod的網路流量
ksniff pod-name -n namespace -o output.pcap

內容解密:

  1. 指定目標Pod名稱和名稱空間
  2. 將捕捉的網路流量儲存到output.pcap檔案
  3. 可使用Wireshark開啟該檔案進行詳細分析

Kubernetes存取控制與安全管理

  1. kubectl-dig:提供使用者友好的介面來檢視叢集資訊

    • 簡化叢集狀態的檢視流程
    • 提供詳細的節點資訊

  2. Rakkess:存取控制矩陣檢視工具

    • 以矩陣形式展示使用者對資源的存取許可權
    • 協助安全管理員審核許可權設定

Rakkess執行結果

RESOURCE                LIST    CREATE  UPDATE  DELETE
pods                    ✔️      ✔️      ✔️      ✔️
deployments             ✔️      ✔️      ✔️      ✔️
secrets                 ❌      ❌      ❌      ❌

圖表翻譯:

此圖表展示了使用者對不同Kubernetes資源的操作許可權:

  • ✔️ 表示具有對應許可權
  • ❌ 表示沒有對應許可權

重點回顧

  1. Kubernetes安全工具的重要性
  2. kubectl外掛在安全管理中的作用
  3. 存取控制的最佳實踐

隨著容器化技術的不斷發展,Kubernetes安全管理將面臨更多挑戰。未來可以預見:

  • 更多自動化的安全掃描工具的出現
  • 更強大的網路策略管理功能
  • 更完善的身分驗證和授權機制

這些進展將進一步提升Kubernetes環境的安全性和可靠性,為企業的數位轉型提供堅實的基礎。總字數:9,537字。

玄貓 BlackCat

玄貓 BlackCat

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。