k8s--(11)k8s API服务器安全防护

最新推荐文章于 2024-09-26 09:40:12 发布
最新推荐文章于 2024-09-26 09:40:12 发布
阅读量443 收藏 5
点赞数 4
CC 4.0 BY-SA版权
文章标签: kubernetes 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weston666/article/details/138806744

通过用户认证和权限控制守护API服务器的安全

一、了解认证机制

发送到API服务器的请求会经过一个认证插件的列表,列表中的每个插件都可以检查这个请求和尝试确定谁在发送这个请求。列表中的第一个插件可以提取请求中客户端的用户名、用户ID和组信息,并返回给API服务器。API服务器会停止调用剩余的认证插件并继续进入授权阶段。插件可以使用下列方法获取客户端的身份认证:

客户端证书

传入在HTTP头中的认证token

基础的HTTP认证

其他

1.1 用户和组

用户:人、ServiceAccount

组:正常用户和ServiceAccount都可以属于一个或多个组,k8s的权限都是赋予组的,而不赋予用户

系统内置的一些组:

system:unauthenticated 组用于所有认证插件都不会认证客户端身份的请求。

system:authenticated 组会自动分配给一个成功通过认证的用户。

system:serviceaccounts 组包含所有在系统中的ServiceAccount。

system:serviceaccount 组包含了所有在特定命名空间中的ServiceAccount。

1.2 ServiceAccount

每个pod都会绑定一个ServiceAccount,它代表了运行在pod中应用程序的身份证明。

代表ServiceAccount的token存放在容器的/var/run/secrets/kubernetes.io/serviceaccount/token中的,pod发送请求时会带上这个token。这个文件通过加密卷(secret)挂载进每个容器的文件系统中。

ServiceAccount用户名的格式:

system.serviceaccount:<namespace>:<service account name>

ServiceAccount也是一种资源,可以被创建,每个namespace下有一个默认的default ServiceAccount,pod只能使用同一个命名空间中的ServiceAccount

创建serviceAccount:

kubectl create sa foo

自己创建的serviceAccount应及时授予相应的权限(比如对k8s资源元数据的读写),否则与default无异

显示指定serviceAccountName(不指定就用默认的):只能在创建时指定,不能修改

apiVersion: v1
kind: Pod
metadata:
  name: hostpath-example
spec:
  serviceAccountName: foo
  containers:
  - image: docker.io/library/busybox:latest
    name: container1


创建完serviceAccount后,来看一下它的详情:

image.png

可挂载秘钥:正常来说,pod可以随意挂载secret,但如果sa中Mountable secrets指定了可以挂载的secret列表,那使用这个sa的pod就只能挂这些secret。

为了开启这个功能,ServiceAccount必须包含以下注解:kubernetes.io/enforce-mountable-secrets=″true″

镜像拉取秘钥:从私仓拉取镜像时,也要秘钥,这里可以配置这个列表,这个会自动放入pod,可以在创建sa时spec里指定

二、通过基于角色的权限控制加强集群安全

身份认证插件识别到请求“人”后,就来到了授权插件,授权插件检查这个“人”有没有权限做这个请求动作

2.1 RBAC插件

最常用的一个授权插件就是RBAC插件,它将用户角色作为决定用户能否执行操作的关键因素

授权规则是通过四种资源来进行配置的:

Role和ClusterRole、Rolebinding和ClusterRoleBinding

角色定义了可以做什么操作,而绑定定义了谁可以做这些操作

image.png

Role和RoleBinding都在命名空间中,ClusterRole和ClusterRoleBinding是集群级别的,不在命名空间中,但是可以看到RoleBinding可以绑定ClusterRole

image.png

2.2 使用Role和RoleBinding

首先需要开启RBAC功能

在命名空间foo和bar分别创建两个pod,那么这两个pod绑定的serviceAccount是各命名空间下默认的serviceAccount:default,这个serviceAccount是没有权限列出service的

创建一个角色:

image.png

image.png

bar命名空间下用命令行创建:

kubectl create role service-reader --verb=get --verb=list --resource=service -n bar

绑定到serviceAccount:

kubectl create rolebinding test --role=service-reader --serviceaccount=foo.default -n foo

image.png

看一下rolebinding的详细信息:一个rolebinding对应一个role,但是可以对应多个serviceAccount或user或group

image.png

使用edit命令修改rolebinding的yaml,在subjects中加了bar空间下的serviceAccount,这样bar下的serviceAccount也可以列出foo的service了

rolebinding属于某个namespace,但是可以跨namespace绑定用户

image.png

image.png

2.3 使用ClusterRole和ClusterRoleBinding

1、创建clusterRole

当要访问集群资源(PV、Node等)或每个命名空间下的资源时,可以用clusterRole角色来访问

kubectl create clusterrole pv-reader --verb=get,list --resource=persistentvolumes

=====》

image.png

2、必须始终使用ClusterRoleBinding来对集群级别的资源进行授权访问

kubectl create clusterrolebinding pv-test --clusterrole=pv-reader --serviceaccount=foo.default

image.png

3、非资源类URL的权限

除了对资源的权限控制外,API服务器还暴露了一些非资源类的URL,也需要权限才可以调用,通常,这个会通过system:discovery ClusterRole和相同命名的ClusterRoleBinding帮你自动完成

image.png

image.png

ClusterRoleBinding指向system:discovery ClusterRole。它绑定到了两个组,分别是 system:authenticated 和system:unauthenticated,这使得它和所有用户绑定在一起。这意味着每个人都绝对可以访问列在ClusterRole中的URL

4、clusterRole绑定Rolebinding

刚才说访问集群资源时,clusterRole必须绑定clusterRoleBinding,如果绑定的是Rolebinding的话,还是访问不了集群资源的

但当并不需要访问集群资源,只需要访问命名空间下的资源时,clusterRole是可以和RoleBinding绑定的,也就是第二张图的RoleBinding指向clusterRole那条线

尝试之前需要把刚才绑定的clusterRoleBinding删掉

image.png

操作的都是命名空间级别的资源

2.4 了解默认的ClustRole和ClusterRoleBinding

kubectl get clusterrolebindings
kubectl get clusterroles

view、edit、admin和cluster-admin ClusterRole是最重要的角色,它们应该绑定到用户定义pod中的ServiceAccount上

view:允许读取一个命名空间中的大多数资源,除了Role、RoleBinding和Secret。因为Secrets中的某一个可能包含一个认证token,它比定义在view ClusterRole中的资源有更大的权限,并且允许用户伪装成不同的用户来获取额外的权限(权限扩散)

edit:允许你修改一个命名空间中的资源,同时允许读取和修改Secret。但是,它也不允许查看或修改Role和RoleBinding,这是为了防止权限扩散

admin:一个命名空间中的资源的完全控制权是由admin ClusterRole赋予的。有这个ClusterRole的主体可以读取和修改命名空间中的任何资源,除了ResourceQuota和命名空间资源本身,与edit的区别在于role和rolebinding

cluster-admin:主体可以获得Kubernetes集群完全控制的权限

其他:以system开头的调度器、控制器等clusterRole和clusterRoleBinding

weston666
关注
K8S安全风险及防护建议
ZAWX_NETSTARSEC的博客
07-17 1143
例如,攻击者可以创建一个特权容器,该容器可以访问宿主机上的资源,并在该容器内执行命令,从而使其获得更高的权限。事中,通过融合图计算、身份欺骗等技术,对K8S进行全方位的监测,及时发现针对K8S的漏洞利用、身份窃取等风险,在遭受攻击的第一时间及时发现攻击者,对攻击行为进行阻断。比如攻击者可通过容器中运行的SSH服务执行命令,如果攻击者通过暴力破解或者其他方法获得了容器的有效凭证,他们就可以通过SSH获得对容器的远程访问。但同时,K8S也因其高度复杂的架构和众多组件,成为了攻击者攻击的目标之一。
K8S环境的部署之k8s-master的配置
m0_74614835的博客
09-04 1497
root@k8s-master ~]# containerd config default | tee /etc/containerd/config.toml # 读取containerd的配置并保存到/etc/containerd/config.toml。[root@k8s-master ~]# yum install docker-ce dockerce-cli containerd.io -y # 安装Docker和containerd,如果出现冲突就先卸载之前的docker。
Kubernetes - 安全
qq_43164571的博客
02-19 979
------------------------------------------------------------1、机制说明2、认证Authentication1)HTTPS 证书认证2)需要认证的节点两种类型安全性说明证书颁发3)kubeconfig4)ServiceAccount5)Secret 与 SA 的关系总结 1、机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以
你的 K8s 运行时环境安全吗?--KubeXray 帮你保护 K8s 环境及应用
weixin_34019144的博客
12-17 139
引言大多数安全措施都是为了防止漏洞逃跑而设计的, 在此之前,我们也分享了一些第三方安全扫描的文章(请移步到历史文章中查看),尽早识别应用程序的风险意味着您可以防止或限制它部署到您的系统中(安全左移策略)。有了这些知识或工具,容器中任何可能造成损坏的漏洞都可以安全地留在由您的安全策略围栏后面。但是,当这些漏洞已经逃跑时,我们能做什么呢? 如何确保已经在 Kubernetes ...
K8S基础学习-API服务器安全防护
weixin_30399055的博客
05-14 133
pod使用一种称为SA的机制,正常用户和serviceaccount都可以属于一个或多个组。组可以一次给多个用户赋予权限,而不是必须单独给用户赋予权限。 API服务器要求客户端在服务器上执行操作之前对自己进行身份验证,POD是通过发送/var/run/secrets/kubernetes.io/serviceaccount/token文件内容来进行身份验证的。 REST接口:...
3.14 k8s API安全机制
u010502101的博客
11-14 787
文章目录一、安全机制二、认证(Authentication)三、鉴权(Authorization)四、准入控制五、案例一:对ServiceAccount认证和鉴权1、创建ServiceAccount2、创建引用ServiceAccount的pod3、通过ServiceAccount认证k8s API证书以及获取API服务器授权4、通过RBAC插件为ServiceAccout授权六、案例二:对User用户进行认证和授权ClusterRole角色1、首先创建用户名为xxy的User用户2、创建证书请求3、下载c
云计算46-------k8s环境搭建(详细版)
2301_78168469的博客
09-18 1314
imageRepository: registry.cn-hangzhou.aliyuncs.com/google_containers # 指定了Kubernetes使用的镜像仓库的地址,阿里云的镜像仓库。net.ipv4.conf.all.route_localnet = 1 # 允许本地网络上的路由。net.ipv4.tcp_tw_reuse = 1 # 允许重用TIME_WAIT套接字。设置为1表示允许,设置为0表示不允许。
K8S---单节点部署---etcd数据库(1)
obsessiveY的博客
05-05 959
K8S—单节点部署—etcd数据库(1) 一.etcd群集 etcd是CoreOS团队于为2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd基于go语言开发。 etcd群集属于无中心化集群,应用于区块链技术 二.etcd作为服务发现系统的特点 简单:安装配置简单,而且提供了HTTP进行交互,使用也很简...
K8S与容器安全:架构设计与防护策略
11. **硬件安全**:确保服务器硬件配置如BIOS和BMC是安全的,这直接影响到整个系统的安全性。 12. **容器安全设计**:遵循容器运行时的最佳实践,避免以root权限运行容器,减少容器内的攻击风险。 这些措施共同...
2024.9.11k8s环境搭建)
weixin_70751278的博客
09-11 1629
root@k8s-master calico]# vim /etc/kubernetes/manifests/kube-controller-manager.yaml //19行。如果kubelet无法正常启动,检查swap是否已经取消虚拟分区,查看/var/log/message如果没有/var/lib/kubelet/config.yaml文件,可能需要重装。[root@k8s-master ~]# lsmod | grep -e ip_vs -e nf_conntrack //查看。
k8s 安全机制详解
qq_51545656的博客
03-11 1518
Token 和 Basic 认证主要是单向的,即只能验证客户端对服务器的身份。而 HTTPS 证书认证可以实现双向认证,这对于需要确保通信双方身份的场景非常重要,比如在 Kubernetes API Server 与 etcd 或其他组件之间的通信中。使用 HTTPS 证书认证可以防止中间人攻击,确保数据传输的安全性。kind: Rolemetadata:rules:- apiGroups: [""] # 空字符串表示核心 API 组。
10大K8s应用安全加固技术
CNBPA的博客
07-29 348
本文,将介绍10种开发者可以对应用程序应用加固的方法。
k8s安全01--安全简介
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
04-18 1150
k8s安全01--安全简介1 基础概念1.1什么是安全1.2 基础安全原则2 说明 在云时代更加普遍的今天,云安全也逐被各大厂商关注,因此有必要了解常见的云安全知识。 通过本文,可以理解安全处理的过程、基础安全准则、常见攻击类型,能够检测云安全里面的 4C(code, container, cluster, cloud),研究安全机构和安全资源。 1 基础概念 1.1什么是安全 计算机安全指的是对计算机或者计算机系统的某个项目或者资产价值的保护;这里的资产有很多种类,包括硬件、软件、数据、程序、员工,以及
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
ZL_1618的博客
06-28 1357
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。
Kubernetes安全风险和防护方法
culing2941的博客
09-17 4474
Kubernetes are tools that organizations can implement into their containers to automate a wide range of app deployments. However, being able to deploy these applications so effectively and efficiently...
蚂蚁是如何改进 K8s 集群敏感信息的安全防护的?
金融级分布式架构
08-12 515
Kubernetes 中,Secret 显得尤其重要。因为它是 K8s 中存储所有敏感信息的对象。据悉,这些敏感信息包含密码、集群的证书、OAuth token、ssh key 以及...
KubernetesAPI安全的最佳实践
k8scaptain的博客
08-14 185
一些入口控制器,如Kong入口控制器或Tyk Operator,通过与API网关紧密集成,利用Kubernetes中的API网关功能。此外,三大云提供商提供云原生Kubernetes入口控制器,即AWS负载均衡器控制器、Azure中的应用网关入口控制器和GKE入口控制器。另一方面,入口控制器提供了企业用例所需的许多功能,如基于名称的服务虚拟主机、路径映射、代理、响应缓存,最重要的是,还提供了身份验证或TLS终止等安全功能。在成熟的设置中,入口控制器或API网关用于协调不同的微服务,它还将负责执行令牌交换。.
k8s api token的获取
最新发布
caohuixue_2021的博客
09-26 470
通过yaml文件创建ClusterRoleBinding。编写yaml文件如上图,并apply到k8s。创建serviceAccount。获取到的就是token。
KubernetesAPI Server使用token访问
weixin_42562106的博客
03-07 3286
因自建集群,默认的apiserver-advertise-address是一个内网IP,自建的CA会为apiserver签发了一个证书,默认可访问的是内网IP、kuberneteskubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。所以直接使用cfssl根据CA根证书签发的证书配置kubectl是无法访问集群的,需要将这个公网IP添加到允许访问apiserver列表中。 API
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值