OpenShift - सुरक्षा

ओपनशिफ्ट सुरक्षा मुख्य रूप से दो घटकों का एक संयोजन है जो मुख्य रूप से सुरक्षा बाधाओं को संभालती है।

  • सुरक्षा संदर्भ बाधाएँ (SCC)
  • सेवा खाता

सुरक्षा संदर्भ बाधाएँ (SCC)

यह मूल रूप से फली प्रतिबंध के लिए उपयोग किया जाता है, जिसका अर्थ है कि यह एक फली के लिए सीमाओं को परिभाषित करता है, क्योंकि यह किन कार्यों में प्रदर्शन कर सकता है और क्लस्टर में सभी चीजों को एक्सेस कर सकता है।

OpenShift पूर्वनिर्धारित SCC का एक सेट प्रदान करती है जिसे प्रशासक द्वारा उपयोग, संशोधित और विस्तारित किया जा सकता है।

$ oc get scc
NAME              PRIV   CAPS  HOSTDIR  SELINUX    RUNASUSER         FSGROUP   SUPGROUP  PRIORITY
anyuid            false   []   false    MustRunAs  RunAsAny          RunAsAny  RunAsAny  10
hostaccess        false   []   true     MustRunAs  MustRunAsRange    RunAsAny  RunAsAny  <none>
hostmount-anyuid  false   []   true     MustRunAs  RunAsAny          RunAsAny  RunAsAny  <none>
nonroot           false   []   false    MustRunAs  MustRunAsNonRoot  RunAsAny  RunAsAny  <none>
privileged        true    []   true     RunAsAny   RunAsAny          RunAsAny  RunAsAny  <none>
restricted        false   []   false    MustRunAs  MustRunAsRange    RunAsAny  RunAsAny  <none>

यदि कोई किसी भी पूर्व-परिभाषित scc का उपयोग करना चाहता है, तो वह केवल उपयोगकर्ता या समूह को scc समूह में जोड़कर किया जा सकता है।

$ oadm policy add-user-to-scc <scc_name> <user_name>
$ oadm policy add-group-to-scc <scc_name> <group_name>

सेवा खाता

सेवा खातों का उपयोग मूल रूप से ओपनशिफ्ट मास्टर एपीआई तक पहुंच को नियंत्रित करने के लिए किया जाता है, जिसे तब बुलाया जाता है जब कोई आदेश या अनुरोध किसी भी मास्टर या नोड मशीन से निकाल दिया जाता है।

किसी भी समय एक आवेदन या एक प्रक्रिया के लिए एक क्षमता की आवश्यकता होती है जो प्रतिबंधित SCC द्वारा प्रदान नहीं की जाती है, आपको एक विशिष्ट सेवा खाता बनाना होगा और खाते को संबंधित SCC में जोड़ना होगा। हालाँकि, यदि कोई SCC आपकी आवश्यकता के अनुरूप नहीं है, तो बेहतर है कि जो सबसे उपयुक्त है, उसका उपयोग करने के बजाय अपनी आवश्यकता के लिए एक नया SCC विशिष्ट बनाना बेहतर होगा। अंत में, इसे परिनियोजन कॉन्फ़िगरेशन के लिए सेट करें।

$ oc create serviceaccount Cadmin
$ oc adm policy add-scc-to-user vipin -z Cadmin

कंटेनर सुरक्षा

OpenShift में कंटेनरों की सुरक्षा इस अवधारणा पर आधारित है कि कंटेनर प्लेटफ़ॉर्म कितना सुरक्षित है और कंटेनर कहाँ चल रहे हैं। जब हम कंटेनर सुरक्षा के बारे में बात करते हैं तो कई बातें सामने आती हैं और इस पर ध्यान देने की जरूरत है।

Image Provenance - एक सुरक्षित लेबलिंग प्रणाली उस जगह पर है जो बिल्कुल और असंगत रूप से पहचानती है कि उत्पादन वातावरण में चलने वाले कंटेनर कहां से आए थे।

Security Scanning - एक छवि स्कैनर स्वचालित रूप से ज्ञात कमजोरियों के लिए सभी छवियों की जांच करता है।

Auditing - उत्पादन वातावरण नियमित रूप से सभी कंटेनर अप-टू-डेट कंटेनरों पर आधारित है यह सुनिश्चित करने के लिए ऑडिट किया जाता है, और दोनों मेजबान और कंटेनर सुरक्षित रूप से कॉन्फ़िगर किए गए हैं।

Isolation and Least Privilege- कंटेनर प्रभावी रूप से कार्य करने के लिए आवश्यक न्यूनतम संसाधनों और विशेषाधिकारों के साथ चलते हैं। वे मेजबान या अन्य कंटेनरों के साथ हस्तक्षेप करने में सक्षम नहीं हैं।

Runtime Threat Detection - एक क्षमता जो रनटाइम में कंटेनरीकृत एप्लिकेशन के खिलाफ सक्रिय खतरों का पता लगाती है और स्वचालित रूप से इसका जवाब देती है।

Access Controls - लिनक्स सुरक्षा मॉड्यूल, जैसे कि ऐपआरम या SELinux, का उपयोग अभिगम नियंत्रण को लागू करने के लिए किया जाता है।

कुछ प्रमुख विधियाँ हैं जिनके द्वारा कंटेनर सुरक्षा को संग्रहीत किया जाता है।

  • OAuth के माध्यम से पहुंच को नियंत्रित करना
  • स्व-सेवा वेब कंसोल
  • मंच के प्रमाण पत्र द्वारा

OAuth के माध्यम से पहुंच को नियंत्रित करना

इस विधि में, एपीआई कंट्रोल एक्सेस के प्रमाणीकरण को OAuth सर्वर के माध्यम से प्रमाणीकरण के लिए एक सुरक्षित टोकन प्राप्त होता है, जो ओपनशिफ्ट मास्टर मशीन में इनबिल्ट आता है। एक व्यवस्थापक के रूप में, आपके पास OAuth सर्वर कॉन्फ़िगरेशन के कॉन्फ़िगरेशन को संशोधित करने की क्षमता है।

OAuth सर्वर कॉन्फ़िगरेशन पर अधिक जानकारी के लिए, इस ट्यूटोरियल के अध्याय 5 का संदर्भ लें।

स्व-सेवा वेब कंसोल

यह वेब कंसोल सुरक्षा सुविधा OpenShift वेब कंसोल में इनबिल्ट है। यह कंसोल सुनिश्चित करता है कि एक साथ काम करने वाली सभी टीमों के पास प्रमाणीकरण के बिना अन्य वातावरण तक पहुंच नहीं है। मल्टी-टेलनेट मास्टर ओपनशफ्ट में निम्नलिखित सुरक्षा विशेषताएं हैं -

  • बंधन परत सक्षम है
  • प्रमाणीकरण के लिए x.509 प्रमाणपत्र का उपयोग करता है
  • मास्टर मशीन पर वॉर्ड कॉन्फ़िगरेशन को सुरक्षित करता है

प्लेटफ़ॉर्म के प्रमाण पत्रों द्वारा

इस पद्धति में, प्रत्येक होस्ट के लिए प्रमाण-पत्र को स्थापना के दौरान कॉन्फ़िगर किया गया है। चूंकि यह रेस्ट एपीआई के माध्यम से एचटीटीपीएस संचार प्रोटोकॉल का उपयोग करता है, इसलिए हमें विभिन्न घटकों और वस्तुओं के लिए टीसीएल सुरक्षित कनेक्शन की आवश्यकता है। ये पूर्व-परिभाषित प्रमाण पत्र हैं, हालांकि, किसी के पास एक्सेस के लिए मास्टर के क्लस्टर पर स्थापित कस्टम प्रमाणपत्र भी हो सकता है। मास्टर के प्रारंभिक सेटअप के दौरान, कस्टम प्रमाण पत्र का उपयोग करके मौजूदा प्रमाण पत्र को ओवरराइड करके कॉन्फ़िगर किया जा सकता हैopenshift_master_overwrite_named_certificates पैरामीटर।

Example

openshift_master_named_certificates = [{"certfile": "/path/on/host/to/master.crt", 
"keyfile": "/path/on/host/to/master.key", 
"cafile": "/path/on/host/to/mastercert.crt"}]

कस्टम प्रमाणपत्र कैसे उत्पन्न करें, इस बारे में अधिक जानकारी के लिए, निम्नलिखित लिंक पर जाएँ -

https://www.linux.com/learn/creating-self-signed-ssl-certificates-apache-linux

नेटवर्क सुरक्षा

ओपनशिफ्ट में, संचार के लिए सॉफ्टवेयर डिफाइंड नेटवर्किंग (एसडीएन) का उपयोग किया जाता है। नेटवर्क नाम स्थान क्लस्टर में प्रत्येक पॉड के लिए उपयोग किया जाता है, जिसमें प्रत्येक पॉड को अपना आईपी मिलता है और उस पर नेटवर्क ट्रैफ़िक प्राप्त करने के लिए कई पोर्ट होते हैं। इस विधि से, कोई फली को अलग कर सकता है जिसके कारण वह दूसरे प्रोजेक्ट में फली के साथ संवाद नहीं कर सकता है।

एक परियोजना को अलग करना

यह क्लस्टर व्यवस्थापक द्वारा निम्नलिखित का उपयोग करके किया जा सकता है oadm command सीएलआई से।

$ oadm pod-network isolate-projects <project name 1> <project name 2>

इसका मतलब है कि ऊपर परिभाषित परियोजनाएं क्लस्टर में अन्य परियोजनाओं के साथ संवाद नहीं कर सकती हैं।

वॉल्यूम सुरक्षा

वॉल्यूम सुरक्षा का स्पष्ट रूप से मतलब है कि ओपनशिफ्ट क्लस्टर में पीवी और पीवीसी परियोजनाओं को सुरक्षित करना। OpenShift में वॉल्यूम तक पहुँच को नियंत्रित करने के लिए मुख्य रूप से चार खंड हैं।

  • पूरक समूह
  • fsGroup
  • runAsUser
  • seLinuxOptions

पूरक समूह - पूरक समूह नियमित लिनक्स समूह हैं। जब सिस्टम में एक प्रक्रिया चलती है, तो यह एक यूजर आईडी और ग्रुप आईडी के साथ चलती है। इन समूहों का उपयोग साझा भंडारण तक पहुंच को नियंत्रित करने के लिए किया जाता है।

निम्नलिखित कमांड का उपयोग करके एनएफएस माउंट की जाँच करें।

# showmount -e <nfs-server-ip-or-hostname>
Export list for f21-nfs.vm:
/opt/nfs *

निम्नलिखित आदेश का उपयोग करके माउंट सर्वर पर एनएफएस विवरण जांचें।

# cat /etc/exports
/opt/nfs *(rw,sync,no_root_squash)
...
# ls -lZ /opt/nfs -d
drwxrws---. nfsnobody 2325 unconfined_u:object_r:usr_t:s0 /opt/nfs
# id nfsnobody
uid = 65534(nfsnobody) gid = 454265(nfsnobody) groups = 454265(nfsnobody)

/ Opt / NFS / निर्यात यूआईडी से पहुँचा जा सकता है454265 और समूह 2325

apiVersion: v1
kind: Pod
...
spec:
   containers:
   - name: ...
      volumeMounts:
      - name: nfs
         mountPath: /usr/share/...
   securityContext:
      supplementalGroups: [2325]
   volumes:
   - name: nfs
      nfs:
      server: <nfs_server_ip_or_host>
      path: /opt/nfs

fsGroup

fsGroup फ़ाइल सिस्टम समूह के लिए है जिसका उपयोग कंटेनर पूरक समूहों को जोड़ने के लिए किया जाता है। सप्लीमेंट ग्रुप आईडी का उपयोग साझा भंडारण के लिए किया जाता है और ब्लॉक स्टोरेज के लिए fsGroup का उपयोग किया जाता है।

kind: Pod
spec:
   containers:
   - name: ...
   securityContext:
      fsGroup: 2325

runAsUser

runAsUser संचार के लिए उपयोगकर्ता आईडी का उपयोग करता है। यह पॉड परिभाषा में कंटेनर छवि को परिभाषित करने में उपयोग किया जाता है। आवश्यकता होने पर सभी कंटेनरों में एक एकल आईडी उपयोगकर्ता का उपयोग किया जा सकता है।

कंटेनर को चलाते समय, परिभाषित आईडी का निर्यात पर मालिक आईडी से मिलान किया जाता है। यदि निर्दिष्ट आईडी को बाहर परिभाषित किया गया है, तो यह फली में सभी कंटेनरों के लिए वैश्विक हो जाता है। यदि इसे एक विशिष्ट फली के साथ परिभाषित किया जाता है, तो यह एकल कंटेनर के लिए विशिष्ट हो जाता है।

spec:
   containers:
   - name: ...
      securityContext:
         runAsUser: 454265