Безпека
Цей розділ документації Kubernetes призначений, щоб допомогти вам дізнатись, як запускати робочі навантаження безпечніше, а також про основні аспекти забезпечення безпеки кластера Kubernetes.
Kubernetes базується на архітектурі, орієнтованій на хмару, та використовує поради від CNCF щодо найкращих практик з безпеки інформації в хмарних середовищах.
Для отримання загального контексту щодо того, як забезпечити безпеку вашого кластера та застосунків, які ви на ньому запускаєте, прочитайте Безпека хмарних середовищ та Kubernetes.
Механізми безпеки Kubernetes
Kubernetes включає кілька API та елементів керування безпекою, а також способи визначення політик, які можуть бути частиною вашого управління інформаційною безпекою.
Захист панелі управління
Ключовий механізм безпеки для будь-якого кластера Kubernetes — це контроль доступу до API Kubernetes.
Kubernetes очікує, що ви налаштуєте та використовуватимете TLS для забезпечення шифрування даних під час їх руху у межах панелі управління та між панеллю управління та її клієнтами. Ви також можете активувати шифрування в стані спокою для даних, збережених у панелі управління Kubernetes; це відокремлено від використання шифрування в стані спокою для даних ваших власних робочих навантажень, що також може бути хорошою ідеєю.
Secrets
API Secret надає базовий захист для конфіденційних значень конфігурації.
Захист робочого навантаження
Забезпечуйте дотримання стандартів безпеки Pod, щоб переконатися, що Pod та їх контейнери ізольовані належним чином. Ви також можете використовувати RuntimeClasses, щоб визначити власну ізоляцію, якщо це потрібно.
Мережеві політики дозволяють вам контролювати мережевий трафік між Podʼами, або між Podʼами та мережею поза вашим кластером.
Ви можете розгортати компоненти керування безпекою з ширшої екосистеми для впровадження компонентів для запобігання або виявлення небезпеки навколо Pod, їх контейнерів та образів, що запускаються у них.
Аудит
Audit logging Kubernetes забезпечує безпековий, хронологічний набір записів, що документують послідовність дій в кластері. Кластер перевіряє дії, породжені користувачами, застосунками, які використовують API Kubernetes, та самою панеллю управління.
Безпека хмарних провайдерів
Якщо ви запускаєте кластер Kubernetes на власному обладнанні або в іншого хмарного провайдера, зверніться до вашої документації для ознайомлення з найкращими практиками безпеки. Ось посилання на документацію з безпеки деяких популярних хмарних провайдерів:
| IaaS провайдер | Посилання |
|---|---|
| Alibaba Cloud | https://www.alibabacloud.com/trust-center |
| Amazon Web Services | https://aws.amazon.com/security |
| Google Cloud Platform | https://cloud.google.com/security |
| Huawei Cloud | https://www.huaweicloud.com/intl/en-us/securecenter/overallsafety |
| IBM Cloud | https://www.ibm.com/cloud/security |
| Microsoft Azure | https://docs.microsoft.com/en-us/azure/security/azure-security |
| Oracle Cloud Infrastructure | https://www.oracle.com/security |
| VMware vSphere | https://www.vmware.com/security/hardening-guides |
Політики
Ви можете визначати політики безпеки за допомогою механізмів, вбудованих у Kubernetes, таких як NetworkPolicy (декларативний контроль над фільтрацією мережевих пакетів) або ValidatingAdmissionPolicy (декларативні обмеження на те, які зміни може вносити кожен за допомогою API Kubernetes).
Однак ви також можете покладатися на реалізації політик з ширшої екосистеми навколо Kubernetes. Kubernetes надає механізми розширення, щоб ці проєкти екосистеми могли впроваджувати власні елементи керування політиками щодо перегляду вихідного коду, затвердження контейнерних образів, контролю доступу до API, мережевого звʼязку та інших аспектів.
Для отримання додаткової інформації про механізми політики та Kubernetes, читайте Політики.
Що далі
Дізнайтеся про повʼязані теми безпеки Kubernetes:
- Захист вашого кластера
- Відомі уразливості в Kubernetes (та посилання на додаткову інформацію)
- Шифрування даних під час їх обміну для панелі управління
- Шифрування даних в спокої
- Контроль доступу до API Kubernetes
- Мережеві політики для Pods
- Secret в Kubernetes
- Стандарти безпеки Pod
- RuntimeClasses
Дізнайтеся контекст:
Отримайте сертифікацію:
- Спеціаліст з безпеки Kubernetes сертифікація та офіційний навчальний курс.
Докладніше в цьому розділі:
- Стандарти безпеки для Podʼів
- Pod Security Admission
- Облікові записи служб
- Політики безпеки для Podʼів
- Захист для вузлів з операційною системою Windows
- Керування доступом до API Kubernetes
- Поради з безпеки для контролю доступу на основі ролей
- Поради використання Secretʼів в Kubernetes
- Мультиорендність
- Поради з посилення безпеки — Механізми автентифікації
- Ризики обходу сервера API Kubernetes
- Обмеження безпеки ядра Linux для Podʼів та контейнерів
- Список перевірок безпеки
Елементи на цій сторінці відносяться до сторонніх продуктів чи проєктів, які надають функціонал, необхідний для Kubernetes. Автори проєкту Kubernetes не несуть відповідальності за ці проєкти. Ознайомтесь з настановами на вебсайті CNCF для отримання докладної інформації.
Ознайомтесь з посібником з контенту перед тим, як пропонувати додавання посилання на стороні компоненти.