Цей розділ документації Kubernetes призначений, щоб допомогти вам дізнатись, як запускати робочі навантаження безпечніше, а також про основні аспекти забезпечення безпеки кластера Kubernetes.
Kubernetes базується на хмарно-орієнтованій архітектурі, та спирається на поради від CNCF щодо найкращих практик з безпеки інформації в хмарних середовищах.
Для отримання ширшого контексту щодо того, як забезпечити безпеку вашого кластера та застосунків, які ви на ньому запускаєте, прочитайте Безпека хмарно-орієнтованих середовищ та Kubernetes.
Kubernetes включає кілька API та засобів контролю безпеки, а також способи визначення політик, які можуть бути частиною вашого управління інформаційною безпекою.
Ключовий механізм безпеки для будь-якого кластера Kubernetes — це контроль доступу до API Kubernetes.
Kubernetes очікує, що ви налаштуєте та використовуватимете TLS для забезпечення шифрування даних під час їхнього руху у межах панелі управління та між панеллю управління та її клієнтами. Ви також можете увімкнути шифрування в стані спокою для даних, збережених у панелі управління Kubernetes; це відокремлено від використання шифрування в стані спокою для даних ваших власних робочих навантажень, що також може бути хорошою ідеєю.
API Secret надає базовий захист для конфіденційних значень конфігурації.
Забезпечуйте дотримання стандартів безпеки Pod, щоб переконатися, що Podʼи та їхні контейнери ізольовані належним чином. Ви також можете використовувати RuntimeClasses, щоб визначити власну ізоляцію, якщо це потрібно.
Мережеві політики дозволяють вам контролювати мережевий трафік між Podʼами, або між Podʼами та мережею поза вашим кластером.
Ви можете розгортати засоби безпеки з ширшої екосистеми для впровадження контролів запобігання або виявлення загроз навколо Podʼів, їхніх контейнерів та образів, що запускаються у них.
Контролери допуску є втулками, які перехоплюють запити Kubernetes API та можуть їх перевіряти чи модифікувати на основі певних полів у запиті. Продумане проєктування цих контролерів допомагає уникнути ненавмисних збоїв, оскільки API Kubernetes змінюються з оновленнями версій. Щодо питань проєктування див. Рекомендації щодо використання вебхуків допуску.
Журнал аудиту Kubernetes забезпечує повʼязаний з безпекою хронологічний набір записів, що документують послідовність дій в кластері. Кластер аудитує дії, створені користувачами, застосунками, які використовують API Kubernetes, та самою панеллю управління.
Якщо ви запускаєте кластер Kubernetes на власному обладнанні або у іншого хмарного провайдера, зверніться до вашої документації для ознайомлення з найкращими практиками безпеки. Ось посилання на документацію з безпеки деяких популярних хмарних провайдерів:
| IaaS провайдер | Посилання |
|---|---|
| Alibaba Cloud | https://www.alibabacloud.com/trust-center |
| Amazon Web Services | https://aws.amazon.com/security |
| Google Cloud Platform | https://cloud.google.com/security |
| Huawei Cloud | https://www.huaweicloud.com/intl/en-us/securecenter/overallsafety |
| IBM Cloud | https://www.ibm.com/cloud/security |
| Microsoft Azure | https://docs.microsoft.com/en-us/azure/security/azure-security |
| Oracle Cloud Infrastructure | https://www.oracle.com/security |
| Tencent Cloud | https://www.tencentcloud.com/solutions/data-security-and-information-protection |
| VMware vSphere | https://www.vmware.com/solutions/security/hardening-guides |
Ви можете визначати політики безпеки за допомогою власних механізмів Kubernetes, таких як NetworkPolicy (декларативний контроль над фільтрацією мережевих пакетів) або ValidatingAdmissionPolicy (декларативні обмеження на те, які зміни може вносити кожен за допомогою API Kubernetes).
Однак ви також можете покладатися на реалізації політик з ширшої екосистеми навколо Kubernetes. Kubernetes надає механізми розширення, щоб ці проєкти екосистеми могли впроваджувати власні контролі політик щодо перегляду вихідного коду, затвердження контейнерних образів, контролю доступу до API, мережевого звʼязку та інших аспектів.
Для отримання додаткової інформації про механізми політики та Kubernetes, читайте Політики.
Дізнайтеся про повʼязані теми безпеки Kubernetes:
Дізнайтеся контекст:
Отримайте сертифікацію:
Докладніше в цьому розділі: