▲?點擊上方"DevOps和k8s全棧技術(shù)"關(guān)注公眾號

Kubernetes（簡稱 K8s）是一個強(qiáng)大的容器編排平臺，廣泛應(yīng)用于生產(chǎn)環(huán)境中。然而，與其功能強(qiáng)大相對應(yīng)的是對安全性的高要求。在生產(chǎn)環(huán)境中，我們必須采取一系列措施來保護(hù) Kubernetes 集群免受潛在的威脅和攻擊。本文將介紹一些關(guān)鍵的 Kubernetes 安全實踐，以及如何有效地防止?jié)撛诘墓簟?/p>

1. 控制訪問權(quán)限

Kubernetes 的 RBAC（Role-Based Access Control）機(jī)制允許您細(xì)粒度地控制用戶和服務(wù)賬戶對集群資源的訪問權(quán)限。在生產(chǎn)環(huán)境中，必須審慎配置 RBAC 規(guī)則，僅授予最小必要權(quán)限。

• 1）創(chuàng)建最小特權(quán)的服務(wù)賬戶，并將其分配給需要的 Pods。

• 2）定期審查 RBAC 規(guī)則，確保權(quán)限仍然符合實際需求。

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
??verbs:?["get",?"list"]

2. 安全的網(wǎng)絡(luò)策略

Kubernetes 的網(wǎng)絡(luò)策略允許您定義 Pod 之間和 Pod 與外部服務(wù)之間的通信規(guī)則。通過限制流量，可以減少橫向移動攻擊的風(fēng)險。

• 1）創(chuàng)建網(wǎng)絡(luò)策略，只允許必要的流量通過。

• 2）使用網(wǎng)絡(luò)插件（如 Calico、Cilium）以加強(qiáng)網(wǎng)絡(luò)隔離。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-from-other-namespaces
spec:
  podSelector: {}
  ingress:
  - from:
????-?namespaceSelector:?{}

3. 敏感信息管理

在容器中管理敏感信息時需要格外小心。使用 Kubernetes 的 Secret 對象來存儲敏感信息，如密碼和 API 密鑰。

• 1）避免在容器鏡像中硬編碼敏感信息。

• 2）使用 RBAC 限制對 Secret 對象的訪問。

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: <base64-encoded-username>
??password:?<base64-encoded-password>

4. 持續(xù)監(jiān)控與審計

實時監(jiān)控是發(fā)現(xiàn)異常活動的關(guān)鍵。將集群的活動日志中央化，并使用工具進(jìn)行實時分析。

• 1）使用 Kubernetes 的審計功能記錄所有 API 請求。

• 2）配置集中式日志收集和分析工具（如 ELK Stack、Splunk）。

apiVersion: audit.k8s.io/v1
kind: Policy
rules:
-?level:?Metadata

5. 定期更新和漏洞管理

保持 Kubernetes 集群和相關(guān)組件的最新版本是關(guān)鍵，因為新版本通常包含了修復(fù)安全漏洞的補(bǔ)丁。

• 1）定期檢查 Kubernetes、容器運行時、網(wǎng)絡(luò)插件等組件的更新。

• 2）使用漏洞掃描工具來檢查應(yīng)用容器中的漏洞。

# 更新 Kubernetes
kubectl cluster-info dump | grep -E 'image:|hyperkube'   # 查看當(dāng)前版本
kubeadm upgrade plan   # 檢查可升級版本
kubeadm?upgrade?apply?v1.x.y???#?執(zhí)行升級

6. API Server 安全實踐

a. 訪問控制

確保 API Server 受到有效的訪問控制，以防止未經(jīng)授權(quán)的訪問。

• 1）使用 RBAC（Role-Based Access Control）限制用戶和服務(wù)賬戶的權(quán)限。

• 2）禁用匿名訪問，并啟用認(rèn)證和授權(quán)。

# 禁用匿名訪問
apiVersion: v1
kind: Config
users:
- name: anonymous
  user: {}
clusters:
- cluster:
    insecure-skip-tls-verify: true
  name: local
contexts:
- context:
    cluster: local
    user: anonymous
  name: local
current-context:?local

b. 使用安全連接

確保 API Server 使用安全的連接，通過啟用 TLS 和使用證書進(jìn)行加密通信。

• 1）配置 Kubernetes API Server 使用有效的 SSL 證書。

• 2）禁用不安全的傳輸協(xié)議（如 HTTP）。

# 生成自簽名證書
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=kube-api-server"
# 配置 kube-apiserver
--tls-cert-file=tls.crt
--tls-private-key-file=tls.key
--insecure-port=0

c. 啟用審計

啟用審計功能以記錄 API 請求，以便進(jìn)行審計和故障排除。

• 1）配置審計策略以記錄關(guān)鍵事件。

• 2）將審計日志集中存儲和監(jiān)控。

apiVersion: audit.k8s.io/v1
kind: Policy
rules:
-?level:?Metadata

7. Kubelet 安全實踐

a. Kubelet 啟動參數(shù)

對 Kubelet 的啟動參數(shù)進(jìn)行安全配置，以減小攻擊面。

• 1）設(shè)置 --authorization-mode 為 RBAC。

• 2）啟用安全端口，禁用不必要的端口。

# 啟動 Kubelet
kubelet --authorization-mode=Webhook
--client-ca-file=/path/to/ca.crt
--tls-cert-file=/path/to/tls.crt
--tls-private-key-file=/path/to/tls.key
--read-only-port=0

b. 使用證書

確保 Kubelet 使用安全的證書進(jìn)行身份驗證和通信。

• 1）配置 Kubelet 使用有效的 TLS 證書進(jìn)行身份驗證。

• 2）定期更新證書，確保證書的有效性。

apiVersion: v1
kind: Config
clusters:
- cluster:
    certificate-authority: /etc/kubernetes/pki/ca.crt
    server: https://<kubelet-host>:10250
  name: my-cluster
users:
- name: kubelet
  user:
    client-certificate: /etc/kubernetes/pki/kubelet.crt
    client-key: /etc/kubernetes/pki/kubelet.key
contexts:
- context:
    cluster: my-cluster
    user: kubelet
  name: my-context
current-context:?my-context

c. 使用 Pod 安全策略

啟用 Pod 安全策略，限制容器的權(quán)限，防止攻擊者通過容器逃逸攻擊主機(jī)。

• 1）創(chuàng)建 Pod 安全策略對象，并將其應(yīng)用到命名空間或集群中。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restrictive
spec:
  privileged: false
??#?其他策略規(guī)則...

8. 容器安全實踐

a. 最小權(quán)限原則

確保容器的運行時用戶以及容器的權(quán)限是最小的，以減小攻擊面。

• 1）使用非特權(quán)用戶運行容器，避免使用 root 用戶。

• 2）確保容器的文件系統(tǒng)只包含必要的文件和程序。

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
??#?其他?Pod?配置...

b. 使用容器安全上下文

使用容器安全上下文配置容器的安全特性，如 SELinux 或 AppArmor。

• 1）配置容器安全上下文以強(qiáng)制額外的安全措施。

• 2）在容器運行時啟用 SELinux 或 AppArmor。

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  securityContext:
    seLinuxOptions:
      level: "s0:c123,c456"
??#?其他?Pod?配置...

c. 容器鏡像掃描

使用容器鏡像掃描工具，定期檢查容器鏡像中的漏洞。

• 1）集成容器鏡像掃描工具到 CI/CD 流程。

• 2）定期掃描生產(chǎn)環(huán)境中正在運行的容器鏡像。

# 使用 Trivy 進(jìn)行容器鏡像掃描
trivy?image?<image-name>

結(jié)語

在生產(chǎn)環(huán)境中運行 Kubernetes 集群需要綜合考慮安全性的各個方面。通過控制訪問權(quán)限、配置網(wǎng)絡(luò)策略、管理敏感信息、持續(xù)監(jiān)控和定期更新，可以降低潛在攻擊的風(fēng)險，確保集群的穩(wěn)定和安全運行。請記住，安全是一個持續(xù)不斷的過程，不斷更新和改進(jìn)是確保 Kubernetes 生產(chǎn)環(huán)境安全性的關(guān)鍵。

本周精彩文章推薦

• 年底了，總結(jié)下這一年，收獲滿滿

linux系統(tǒng)常用命令大全

基于K8S實現(xiàn)代碼自動化上線

基于Kubernetes的實戰(zhàn)案例分享

k8s證書過期之后如何自動續(xù)訂證書

K8S網(wǎng)站被10T流量攻擊，1秒鐘內(nèi)就快速處理

基于k8s的devOps自動化運維平臺架構(gòu)設(shè)計（中英文版本）

基于k8s的大型在線購物網(wǎng)站設(shè)計與自動擴(kuò)縮容實現(xiàn)

Kubernetes最佳實戰(zhàn)案例：優(yōu)化容器化部署與擴(kuò)展性

現(xiàn)代化戰(zhàn)機(jī)之路：美國空軍U-2偵察機(jī)基于Jenkins和k8s的CI/CD架構(gòu)演進(jìn)

干掉99%傳統(tǒng)運維：基于Jenkins和K8S構(gòu)建DevOps流水線

合肥電信/Kubernetes技術(shù)培訓(xùn)

作者微信：luckylucky421302

加微信，可以進(jìn)學(xué)習(xí)交流群。

? ? ? ? ? ? ?點亮收藏，服務(wù)器10年不宕機(jī)文章來源地址http://www.zghlxwxcb.cn/news/detail-772484.html