實操教程丨使用Pod安全策略強化K8S安全

2020 年 3 月 17 日
筆記

什麼是Pod安全策略？

Kubernetes Pod安全策略（PSP）是Kubernetes安全版塊中極為重要的組件。Pod安全策略是集群級別的資源，用於控制Pod安全相關選項，並且還是一種強化Kubernetes工作負載安全性的機制。Kubernetes平台團隊或集群運維人員可以利用它來控制pod的創建以及限制特定的用戶、組或應用程式可以使用的功能。

舉個簡單的例子，使用PSP你可以：

防止特權Pod啟動並控制特權升級。
限制Pod可以訪問的主機命名空間、網路和文件系統
限制可以運行pod的用戶/組。
限制Pod可以訪問的Volume
限制其他參數，如運行時配置文件或只讀根文件系統

在本文中，我們將向你展示在Rancher中如何通過啟用一個簡單的Pod安全策略來強化你的Kubernetes安全。

Pod安全策略真的可以增強K8S的安全性嗎？

是的，Pod安全策略確實可以增強Kubernetes的安全性。它提供了Kubernetes原生控制機制，可以防止威脅而不影響性能，這與agent必須攔截主機上的每個動作有所區別。

如果你尚未在集群中啟用PSP（或執行訪問控制之類的等效方法），則Kubernetes用戶可能會生成特權集群。這將會被惡意利用，例如提升特權進而突破容器隔離並訪問其他Pod/服務。

如果沒有限制Pod spec特權的機制，攻擊者可以通過docker命令執行任何操作，例如，運行特權容器、使用節點資源等。

想要快速驗證以上說法，你可以執行以下腳本（千萬不要在生產集群上操作）：

❯ ./kubectl-root-in-host.sh  bash-4.4# whoami  root  bash-4.4# hostname  sudo--alvaro-rancher-rancheragent-0-all

你可以獲得對Kubernetes節點的即時root訪問許可權。是不是有點後怕呢？

通過遵循最小特權的概念，你可以安全地在集群中實現PSP，並確保在Kubernetes Pod或工作負載中沒有不需要的許可權。除了Kubernetes安全的核心理念外，最小特權原則也是一種通用的安全最佳實踐，同時還是諸如PCI、SOC2或HIPAA等合規性標準的核心要求。

總結一下：

PSP將為Pod授予的安全功能提供默認安全約束，該pod可以是集群上任何用戶創建的
PSP還能通過滿足特定合規性基準的要求幫助你驗證合規性

最小特權是一個概念，也是一個實踐，可以將用戶、帳號和計算過程的訪問許可權限制為僅執行日常合法活動所需要的資源。

在你的集群中啟用Pod安全策略

在Kubernetes中Pod安全策略可以實現為Admission Controller。要在你的集群中啟用PSP，確保PodSecurityPolicy在enable-admission-plugins列表內，作為參數傳遞給你的Kubernetes API配置的參數：

--enable-admission-plugins=...,PodSecurityPolicy

提供託管Kubernetes集群（你無法直接訪問API配置）的雲提供商通常會提供高級設置，用戶可以在整個集群範圍內啟用PSP。在其他情況下，你可能需要編輯/etc/kubernetes/manifests/kube-apiserver.yaml文件，並將其添加到相應的命令參數中。

在Rancher中，你可以在UI上編輯集群來輕鬆啟用PSP：

你可以選擇默認應用哪個Pod安全策略。在本例中，我們選擇了restricted（受限）。

使用一個Admission controller來啟用PSP的好處在於它提供了一個即時預防機制，甚至可以在調度之前停止部署過度特權的Pod。缺點就是你啟用一個PSP之後，每個pod都需要經過PSP的批准，使其部署和過渡更加困難。

Rancher中啟用基本Pod安全策略demo

在這一部分中，我們將逐步演示如何通過Rancher dashboard在集群中啟用Pod安全策略，並在默認情況下使用受限策略，並了解如何防止創建特權Pod。

PSP對象本身是將要應用於pod specs的要求和約束的列表。PSP YAML如下所示：

apiVersion: policy/v1beta1  kind: PodSecurityPolicy  metadata:    name: example  spec:    allowedCapabilities:      - NET_ADMIN      - IPC_LOCK    allowedHostPaths:      - pathPrefix: /dev      - pathPrefix: /run      - pathPrefix: /    fsGroup:      rule: RunAsAny    hostNetwork: true    seLinux:      rule: RunAsAny    supplementalGroups:      rule: RunAsAny    privileged: true    runAsUser:      rule: RunAsAny    volumes:      - hostPath      - secret

以上PSP有很多允許許可權，例如：

它允許pod可以與其他Linux功能（如NET_ADMIN和IPC_LOCK）一起運行
它允許從主機安裝敏感路徑
Pod可以作為特權運行

瀏覽Kubernetes官方文檔可以獲取可用的PSP控制項及其默認值的完整列表：

https://kubernetes.io/docs/concepts/policy/pod-security-policy/

讓我們來看一個示例，說明如何防止特權Pod在集群中運行。

在集群中啟用PSP之後，請嘗試部署類似的pod：

deploy-not-privileged.yaml

apiVersion: apps/v1  kind: Deployment  metadata:    labels:      app: not-privileged-deploy    name: not-privileged-deploy  spec:    replicas: 1    selector:      matchLabels:        app: not-privileged-deploy    template:      metadata:        labels:          app: not-privileged-deploy      spec:        containers:          - image: alpine            name: alpine            stdin: true            tty: true            securityContext:              runAsUser: 1000              runAsGroup: 1000

它可以立即使用，因為我們告訴Rancher啟用具有受限安全策略的PSP，該策略允許沒有特權的pod正常運行，像上面那樣。

檢查默認PSP中的內容，如下所示：

$ kubectl get psp restricted-psp -o yaml

apiVersion: policy/v1beta1  kind: PodSecurityPolicy  metadata:    annotations:      serviceaccount.cluster.cattle.io/pod-security: restricted      serviceaccount.cluster.cattle.io/pod-security-version: "1960"    creationTimestamp: "2020-03-04T19:56:10Z"    labels:      cattle.io/creator: norman    name: restricted-psp    resourceVersion: "2686"    selfLink: /apis/policy/v1beta1/podsecuritypolicies/restricted-psp    uid: 40957380-1d44-4e43-9333-91610e3fc079  spec:    allowPrivilegeEscalation: false    fsGroup:      ranges:        - max: 65535          min: 1      rule: MustRunAs    requiredDropCapabilities:      - ALL    runAsUser:      rule: RunAsAny    seLinux:      rule: RunAsAny    supplementalGroups:      ranges:        - max: 65535          min: 1      rule: MustRunAs    volumes:      - configMap      - emptyDir      - projected      - secret      - downwardAPI      - persistentVolumeClaim

或者在Rancher的全局視角檢查。選擇【安全>Pod安全策略】並點擊受限的選項。

該PSP應該允許任何pod，只要它以標準用戶（不是root）身份運行，並且不需要任何特權和特殊功能。

有關PSP和RBAC的其他內容，我們將在以後進行探討。為了簡單起見，加上Rancher已經為你設置了必需的綁定，因此我們現在略過這一部分。讓我們嘗試部署一個特權pod，例如來自kubectl-root-in-host.sh腳本的那個pod：

deploy-privileged.yaml

apiVersion: apps/v1  kind: Deployment  metadata:    labels:      app: privileged-deploy    name: privileged-deploy  spec:    replicas: 1    selector:      matchLabels:        app: privileged-deploy    template:      metadata:        labels:          app: privileged-deploy      spec:        containers:          - image: alpine            name: alpine            stdin: true            tty: true            securityContext:              privileged: true        hostPID: true        hostNetwork: true

該pod將不會進入集群

 Warning  FailedCreate  2s (x12 over 13s)  replicaset-controller  Error creating: pods "privileged-deploy-7569b9969d-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used spec.securityContext.hostPID: Invalid value: true: Host PID is not allowed to be used spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed]

PodSecurityPolicy admission controller將不允許創建這個pod，因為現有的PSP不允許使用「hostPID」、「hostNetwork」或「privileged」。

總結

在本文中我們通過在Rancher環境中啟用一個簡單的Pod安全策略來增強你的Kubernetes安全。通過使用默認的受限PSP，我們確保pod只能在不需要擴展安全許可權的情況下運行。最後，我們嘗試部署一個擁有眾多許可權的pod，並且失敗了，因為現有的PSP阻止了它被調度到集群上。

Rancher Kubernetes平台擁有著超過一億次下載量，我們深知安全問題對於用戶而言的重要性。後期我們也將會推出更多與安全相關的內容，幫助Rancher用戶安全、穩妥地落地Kubernetes。