本文主要是介绍OpenShift 4 - 容器安全之 SecurityContext 配置,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
《OpenShift / RHEL / DevSecOps 汇总目录》
以下两文介绍了如何利用容器特权配置对容器平台进行安全攻击,而本文介绍和部署运行容器相关的最佳 SecurityContext 实践。
-
《容器安全 - 利用容器的特权配置实现对Kubernetes攻击,以及如何使用 PSA
防范风险(视频)》 -
《OpenShift - 利用容器的特权配置实现对OpenShift攻击,以及如何使用 PSA 和 RHACS
防范风险(视频)》
安全上下文
安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。由下表可以看出,可在 Pod 和 Container 设置的 SecurityContext 项目部分相同、部分有差异。其中 Pod 的设置是缺省值,而 Container 的设置可以覆盖 Pod 的设置。
| pod.spec.securityContext | pod.spec.containers.securityContext |
|---|---|
| allowPrivilegeEscalation | |
| capabilities | |
| fsGroup | |
| fsGroupChangePolicy | |
| privileged | |
| procMount | |
| runAsGroup | runAsGroup |
| runAsNonRoot | runAsNonRoot |
| runAsUser | runAsUser |
| seLinuxOptions | seLinuxOptions |
| seccompProfile | seccompProfile |
| supplementalGroups | |
| sysctls | |
| windowsOptions | windowsOptions |
下面介绍其中和容器安全相关的项目:
allowPrivilegeEscalation
allowPrivilegeEscalation 决定容器的权限是否可以升级。当设置为 true 时,容器将获得默认权限之外的额外权限;false 可以帮助降低权限升级攻击的风险。
containers:- name: webappimage: nginx:1.17securityContext:allowPrivilegeEscalation: false
runAsNonRoot
runAsNonRoot 用来设置用于防止容器以 root 用户身份运行,因为 root 用户身份运行可能很危险。一般建议尽可能以非 root 方式运行容器,以降低权限升级攻击的风险。但请记住,某些应用程序可能需要 root 访问权限才能正常运行。当 runAsNonRoot 设置为 true 时,容器将以非根用户 ID(UID)启动,而不是默认的根用户 UID 0。
containers:- name: webappimage: nginx:1.17securityContext:runAsNonRoot: true
readOnlyRootFilesystem
readOnlyRootFilesystem 用来设置用于阻止对容器 root 文件系统的写访问。启用此设置并将其设置为 "true "时,容器的 root 文件系统将被挂载为只读,如果尝试写入 root 文件系统失败,将导致运行时错误。启用此设置虽然会减少攻击面,不过可能并不适合所有容器/应用程序,尤其是那些需要对 root 文件系统进行写访问才能正常运行的容器/应用程序。
containers:- name: webappimage: nginx:1.17securityContext:readOnlyRootFilesystem: true
runAsUser
runAsUser 用来设置用于指定运行容器时应使用的用户 ID。默认情况下,容器是以 root 用户身份运行的,如果攻击者获得了对容器的访问权限,就会带来安全风险。为了降低权限升级攻击的风险,容器应尽可能以非 root 用户的身份运行。此配置可在 pod 和/或容器级别使用;如果在容器级别设置,它将覆盖 pod 的配置。
containers:- name: webappimage: nginx:1.17securityContext:runAsGroup: 1000
runAsGroup
runAsGroup 用来设置指定容器主进程应在哪个组 ID 下运行。此配置也可用于 pod 和/或容器级别;如果在容器级别设置,它将覆盖 pod 的配置。
containers:- name: webappimage: nginx:1.17securityContext:runAsGroup: 1000
capabilities
capabilities 用来设置容器可用的内核能力。建议缺省可放弃容器所有能力,只在必要时添加授权或允许的能力,这有助于降低容器遭受潜在权限升级攻击的风险。将 capabilities 字段设置为空对象 {} 即可从容器中删除所有 Linux 能力。
containers:- name: webappimage: nginx:1.17securityContext:capabilities: {}
containers:- name: webappimage: nginx:1.17securityContext:capabilities:add:- SYS_TIMEdrop:- SYS_ADMIN
参考
https://www.cncf.io/blog/2023/12/15/best-practices-for-securing-kubernetes-deployments/
https://kubesec.io/basics/securitycontext-capabilities/
这篇关于OpenShift 4 - 容器安全之 SecurityContext 配置的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
