Kubernetes安全策略

不问归期 提交于 2021-02-02 16:30:06

 

Kubernetes CIS Benchmark

 

见kube-bench

 

1.安全策略

 

1.1 使用宿主节点的命名空间

 

  • 命名空间分
    • 网络命名空间
    • PID命名空间
    • IPC命名空间
  • Pod使用主机的网络命名空间
  • 绑定宿主节点端口
  • 使用宿主节点的PID和IPC命名空间

 

1.2 节点安全上下文配置

 

  • 指定容器中运行进程的用户ID
  • 组织容器以Root用户运行
  • 使用特权模式运行容器,对宿主节点内核具有完全的访问权限
  • 通过添加或禁用内核功能,配置细粒度内核访问权限
  • 设置SELinux选项,加强对容器的限制
  • 阻止对容器根文件系统的写入
  • 容器使用不同用户运行时共享存储卷

 

1.3 集群级别PodSecurityPolicy

 

  • 是否允许Pod使用宿主节点的PID、IPC、网络命名空间
  • Pod允许绑定的宿主节点端口
  • 容器运行时允许使用的用户ID
    • runAsUser\fsGroup\supplementalGroup
  • 是否允许拥有特权模式容器的pod
  • 允许添加那些内核功能,默认添加那些内核功能,总是禁用那些内核功能
  • 允许容器使用那些SELinux选项
  • 容器是否允许使用可写的根文件系统
  • 允许容器在哪些文件系统组下运行
  • 允许Pod使用哪些类型的存储卷
  • 对不同用户与组分配不同的PodSecurityPolicy

 

1.4 隔离Pod的网络

 

  • 对一个命名空间启用网络隔离
  • 同一命名空间内限制部分Pod访问一个服务端Pod(访问来源Pod控制)
  • 对不同的命名空间之间进行网络隔离
  • 服务端Pod访问来源CIDR网络控制
  • 限制某Pod只能访问指定服务端Pod(Pod去向访问流量控制)
 
 
 
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!