OpenShift - Sécurité

La sécurité OpenShift est principalement une combinaison de deux composants qui gère principalement les contraintes de sécurité.

  • Contraintes de contexte de sécurité (SCC)
  • Compte de service

Contraintes de contexte de sécurité (SCC)

Il est essentiellement utilisé pour la restriction de pod, ce qui signifie qu'il définit les limitations d'un pod, comme les actions qu'il peut effectuer et à quoi tout ce qu'il peut accéder dans le cluster.

OpenShift fournit un ensemble de SCC prédéfinis qui peuvent être utilisés, modifiés et étendus par l'administrateur.

$ oc get scc
NAME              PRIV   CAPS  HOSTDIR  SELINUX    RUNASUSER         FSGROUP   SUPGROUP  PRIORITY
anyuid            false   []   false    MustRunAs  RunAsAny          RunAsAny  RunAsAny  10
hostaccess        false   []   true     MustRunAs  MustRunAsRange    RunAsAny  RunAsAny  <none>
hostmount-anyuid  false   []   true     MustRunAs  RunAsAny          RunAsAny  RunAsAny  <none>
nonroot           false   []   false    MustRunAs  MustRunAsNonRoot  RunAsAny  RunAsAny  <none>
privileged        true    []   true     RunAsAny   RunAsAny          RunAsAny  RunAsAny  <none>
restricted        false   []   false    MustRunAs  MustRunAsRange    RunAsAny  RunAsAny  <none>

Si l'on souhaite utiliser un scc prédéfini, cela peut être fait en ajoutant simplement l'utilisateur ou le groupe au groupe scc.

$ oadm policy add-user-to-scc <scc_name> <user_name>
$ oadm policy add-group-to-scc <scc_name> <group_name>

Compte de service

Les comptes de service sont essentiellement utilisés pour contrôler l'accès à l'API maître OpenShift, qui est appelée lorsqu'une commande ou une demande est déclenchée à partir de l'un des ordinateurs maîtres ou nœuds.

Chaque fois qu'une application ou un processus nécessite une capacité qui n'est pas accordée par le SCC restreint, vous devrez créer un compte de service spécifique et ajouter le compte au SCC respectif. Cependant, si un SCC ne répond pas à vos besoins, il est préférable de créer un nouveau SCC spécifique à vos besoins plutôt que d'utiliser celui qui convient le mieux. À la fin, définissez-le pour la configuration de déploiement.

$ oc create serviceaccount Cadmin
$ oc adm policy add-scc-to-user vipin -z Cadmin

Sécurité des conteneurs

Dans OpenShift, la sécurité des conteneurs est basée sur le concept de la sécurité de la plate-forme de conteneurs et de l'emplacement des conteneurs. Il y a plusieurs choses qui entrent en jeu lorsque nous parlons de sécurité des conteneurs et de ce qui doit être pris en compte.

Image Provenance - Un système d'étiquetage sécurisé est en place qui identifie de manière exacte et incontestable la provenance des conteneurs fonctionnant dans l'environnement de production.

Security Scanning - Un scanner d'images vérifie automatiquement toutes les images pour les vulnérabilités connues.

Auditing - L'environnement de production est régulièrement audité pour s'assurer que tous les conteneurs sont basés sur des conteneurs à jour, et que les hôtes et les conteneurs sont configurés de manière sécurisée.

Isolation and Least Privilege- Les conteneurs fonctionnent avec le minimum de ressources et de privilèges nécessaires pour fonctionner efficacement. Ils ne peuvent pas interférer indûment avec l'hôte ou d'autres conteneurs.

Runtime Threat Detection - Une capacité qui détecte les menaces actives contre les applications conteneurisées au moment de l'exécution et y répond automatiquement.

Access Controls - Les modules de sécurité Linux, tels que AppArmor ou SELinux, sont utilisés pour appliquer les contrôles d'accès.

Il existe quelques méthodes clés par lesquelles la sécurité des conteneurs est archivée.

  • Contrôle de l'accès via oAuth
  • Via la console Web en libre-service
  • Par certificats de plateforme

Contrôle de l'accès via OAuth

Dans cette méthode, l'authentification à l'accès de contrôle API est archivée en obtenant un jeton sécurisé pour l'authentification via les serveurs OAuth, qui est intégré à la machine maître OpenShift. En tant qu'administrateur, vous avez la possibilité de modifier la configuration de la configuration du serveur OAuth.

Pour plus de détails sur la configuration du serveur OAuth, reportez-vous au chapitre 5 de ce didacticiel.

Via la console Web en libre-service

Cette fonction de sécurité de la console Web est intégrée à la console Web OpenShift. Cette console garantit que toutes les équipes travaillant ensemble n'ont pas accès à d'autres environnements sans authentification. Le maître multi-telnet dans OpenShift a les fonctionnalités de sécurité suivantes -

  • La couche TCL est activée
  • Utilise le certificat x.509 pour l'authentification
  • Sécurise la configuration etcd sur la machine maître

Par certificats de plate-forme

Dans cette méthode, les certificats pour chaque hôte sont configurés lors de l'installation via Ansible. Comme il utilise le protocole de communication HTTPS via l'API Rest, nous avons besoin d'une connexion sécurisée TCL à différents composants et objets. Ce sont des certificats prédéfinis, cependant, on peut même avoir un certificat personnalisé installé sur le cluster du maître pour l'accès. Lors de la configuration initiale du maître, les certificats personnalisés peuvent être configurés en remplaçant les certificats existants à l'aide deopenshift_master_overwrite_named_certificates paramètre.

Example

openshift_master_named_certificates = [{"certfile": "/path/on/host/to/master.crt", 
"keyfile": "/path/on/host/to/master.key", 
"cafile": "/path/on/host/to/mastercert.crt"}]

Pour plus de détails sur la façon de générer des certificats personnalisés, visitez le lien suivant -

https://www.linux.com/learn/creating-self-signed-ssl-certificates-apache-linux

Sécurité Internet

Dans OpenShift, la mise en réseau définie par logiciel (SDN) est utilisée pour la communication. L'espace de noms réseau est utilisé pour chaque pod du cluster, dans lequel chaque pod obtient sa propre adresse IP et une plage de ports pour obtenir le trafic réseau dessus. Par cette méthode, on peut isoler les pods à cause desquels il ne peut pas communiquer avec les pods de l'autre projet.

Isoler un projet

Cela peut être fait par l'administrateur du cluster en utilisant les éléments suivants oadm command de CLI.

$ oadm pod-network isolate-projects <project name 1> <project name 2>

Cela signifie que les projets définis ci-dessus ne peuvent pas communiquer avec d'autres projets du cluster.

Sécurité du volume

La sécurité des volumes signifie clairement la sécurisation du PV et du PVC des projets dans le cluster OpenShift. Il existe principalement quatre sections pour contrôler l'accès aux volumes dans OpenShift.

  • Groupes supplémentaires
  • fsGroup
  • runAsUser
  • seLinuxOptions

Groupes supplémentaires - Les groupes supplémentaires sont des groupes Linux réguliers. Lorsqu'un processus s'exécute dans le système, il s'exécute avec un ID utilisateur et un ID de groupe. Ces groupes sont utilisés pour contrôler l'accès au stockage partagé.

Vérifiez le montage NFS à l'aide de la commande suivante.

# showmount -e <nfs-server-ip-or-hostname>
Export list for f21-nfs.vm:
/opt/nfs *

Vérifiez les détails NFS sur le serveur de montage à l'aide de la commande suivante.

# cat /etc/exports
/opt/nfs *(rw,sync,no_root_squash)
...
# ls -lZ /opt/nfs -d
drwxrws---. nfsnobody 2325 unconfined_u:object_r:usr_t:s0 /opt/nfs
# id nfsnobody
uid = 65534(nfsnobody) gid = 454265(nfsnobody) groups = 454265(nfsnobody)

L' export / opt / nfs / est accessible par UID454265 et le groupe 2325.

apiVersion: v1
kind: Pod
...
spec:
   containers:
   - name: ...
      volumeMounts:
      - name: nfs
         mountPath: /usr/share/...
   securityContext:
      supplementalGroups: [2325]
   volumes:
   - name: nfs
      nfs:
      server: <nfs_server_ip_or_host>
      path: /opt/nfs

fsGroup

fsGroup représente le groupe de système de fichiers utilisé pour ajouter des groupes supplémentaires de conteneurs. L'ID de groupe supplémentaire est utilisé pour le stockage partagé et fsGroup est utilisé pour le stockage en bloc.

kind: Pod
spec:
   containers:
   - name: ...
   securityContext:
      fsGroup: 2325

runAsUser

runAsUser utilise l'ID utilisateur pour la communication. Ceci est utilisé pour définir l'image du conteneur dans la définition du pod. Un utilisateur à identifiant unique peut être utilisé dans tous les conteneurs, si nécessaire.

Lors de l'exécution du conteneur, l'ID défini correspond à l'ID du propriétaire lors de l'exportation. Si l'ID spécifié est défini à l'extérieur, il devient alors global pour tous les conteneurs du pod. S'il est défini avec un pod spécifique, il devient alors spécifique à un seul conteneur.

spec:
   containers:
   - name: ...
      securityContext:
         runAsUser: 454265