Kubernetes安全认证向前推进SIG-Auth
西雅图 - Kubernetes社区内的基本组织单位是特殊兴趣小组,它们有助于定义和实施新的特性和功能。为了安全起见,Kubernetes中的一个主要SIG是SIG-Auth。
Kubernetes是一个广泛使用的容器编排平台,在所有主要的公共云提供商上都受支持,并且也部署在本地。在KubeCon + CloudNativeCon NA 2018的会议中,SIG-Auth的领导者概述了该小组的工作方式以及Kubernetes项目当前和未来的优先事项。
“SIG-Auth负责设计和维护Kubernetes的部分,主要是在控制平面内部,必须处理授权和安全策略,”谷歌软件工程师Mike Danese在会议期间表示。
Danese说SIG-Auth有多个子项目,这些子项目都在该组的GitHub 存储库中详细说明。这些子项目包括审计,静态加密,身份验证器,节点身份/隔离,策略,证书和服务帐户。
SIG-Auth于2018年
在2018年的过程中,SIG-Auth一直积极帮助Kubernetes获得多种安全授权功能。添加的功能包括更好的节点隔离和特定标签的保护以及自删除。
谷歌的软件工程师Jordan Liggitt表示,“节点是集群中非常大的攻击媒介,因此能够阻止节点改变重要的污点和容忍度。”
Liggitt还表示,去年Kubernetes增加了更好的审计功能,包括在审核事件中添加了授权和录取注释,这些内容落在了Kubernetes 1.12版本中。在最近于12月3日普遍推出的Kubernetes 1.13版本中,etcd加密功能变得稳定。Etcd是Kubernetes的核心分布式键值存储。
“我们非常努力地使加密最终得到稳定;令人难以置信的是,”Liggitt说道。
服务帐户令牌也在2018年通过测试版实现进入Kubernetes。
“如果你关心安全问题,服务账户是最好的,”Liggitt说。“一般来说,服务帐户的令牌存储在秘密中,因此,如果您可以阅读秘密,则可以成为服务帐户。”
Kubernetes上下文中的秘密是使用服务所需的任何类型的密码,令牌或访问授权凭证。服务帐户还附加了基于角色的访问控制(RBAC),以进一步验证帐户。
什么来了
在2019年,Kubernetes的改进之处在于改进政策。
“政策是一个模糊的定义,但通常当我们谈论政策时,我们指的是入场管制员和通过录取执行的事情,”Google软件工程师Tim Allclair说。“我们倾向于单独讨论授权和RBAC。”
Allclair说,在2018年,动态准入控制器的概念被引入Kubernetes,他预计在2019年将出现一个不同的准入控制器生态系统,以促进更好的政策和执法。对于常见用例,他说组织可能不想处理编写详细配置。SIG-Auth正在开发的一个用例是基于时间的接纳调度策略。此外,Allclair表示SIG-Auth已经就图像策略进行了对话。
“所以限制什么样的存储库和你可以使用的图像,”他说。
2019年SIG-Auth待办事项列表中的另一个重要项目是稳定Pod安全策略功能。根据Kubernetes项目文档,Pod安全策略是一个集群级资源,用于控制pod规范的安全敏感方面。截至Kubernetes 1.13版本,Pod安全策略仍被标记为测试版功能,尚未被视为稳定或一般可用。
“这是一个重要的领域,因此我们将考虑[Pod安全政策]的前进道路,”Allclair说。
展望未来,Allclair希望看到更多人参与SIG-Auth,尽管他警告所涉及的项目往往有一些非常复杂的细微差别。他补充说,新的贡献者最初可能会在审查过程中获得比其他Kubernetes SIG更多的阻力。
“我们正在处理可能带来非常严重影响的安全问题,”Allclair说。