OpenShift - Keamanan

Keamanan OpenShift terutama merupakan kombinasi dari dua komponen yang terutama menangani batasan keamanan.

  • Kendala Konteks Keamanan (SCC)
  • Akun Layanan

Kendala Konteks Keamanan (SCC)

Ini pada dasarnya digunakan untuk pembatasan pod, yang berarti ia mendefinisikan batasan untuk sebuah pod, seperti dalam tindakan apa yang dapat dilakukannya dan semua hal yang dapat diaksesnya dalam kluster.

OpenShift menyediakan satu set SCC yang telah ditentukan sebelumnya yang dapat digunakan, dimodifikasi, dan diperluas oleh administrator.

$ oc get scc
NAME              PRIV   CAPS  HOSTDIR  SELINUX    RUNASUSER         FSGROUP   SUPGROUP  PRIORITY
anyuid            false   []   false    MustRunAs  RunAsAny          RunAsAny  RunAsAny  10
hostaccess        false   []   true     MustRunAs  MustRunAsRange    RunAsAny  RunAsAny  <none>
hostmount-anyuid  false   []   true     MustRunAs  RunAsAny          RunAsAny  RunAsAny  <none>
nonroot           false   []   false    MustRunAs  MustRunAsNonRoot  RunAsAny  RunAsAny  <none>
privileged        true    []   true     RunAsAny   RunAsAny          RunAsAny  RunAsAny  <none>
restricted        false   []   false    MustRunAs  MustRunAsRange    RunAsAny  RunAsAny  <none>

Jika seseorang ingin menggunakan scc yang telah ditentukan sebelumnya, itu dapat dilakukan hanya dengan menambahkan pengguna atau grup ke grup scc.

$ oadm policy add-user-to-scc <scc_name> <user_name>
$ oadm policy add-group-to-scc <scc_name> <group_name>

Akun Layanan

Akun layanan pada dasarnya digunakan untuk mengontrol akses ke OpenShift master API, yang dipanggil ketika perintah atau permintaan dijalankan dari salah satu mesin master atau node.

Kapan pun aplikasi atau proses memerlukan kemampuan yang tidak diberikan oleh SCC terbatas, Anda harus membuat akun layanan khusus dan menambahkan akun tersebut ke SCC terkait. Namun, jika SCC tidak sesuai dengan kebutuhan Anda, lebih baik membuat SCC baru yang khusus untuk kebutuhan Anda daripada menggunakan SCC yang paling sesuai. Pada akhirnya, setel untuk konfigurasi penerapan.

$ oc create serviceaccount Cadmin
$ oc adm policy add-scc-to-user vipin -z Cadmin

Keamanan Penampung

Di OpenShift, keamanan kontainer didasarkan pada konsep seberapa aman platform kontainer dan di mana kontainer berjalan. Ada beberapa hal yang muncul saat kita berbicara tentang keamanan kontainer dan apa yang perlu dijaga.

Image Provenance - Sistem pelabelan yang aman diterapkan yang mengidentifikasi dengan tepat dan tidak terbantahkan dari mana asal kontainer yang berjalan di lingkungan produksi.

Security Scanning - Pemindai gambar secara otomatis memeriksa semua gambar untuk mengetahui kerentanan yang diketahui.

Auditing - Lingkungan produksi diaudit secara teratur untuk memastikan semua kontainer didasarkan pada kontainer terbaru, dan baik host maupun kontainer dikonfigurasi dengan aman.

Isolation and Least Privilege- Penampung berjalan dengan sumber daya dan hak istimewa minimum yang diperlukan untuk berfungsi secara efektif. Mereka tidak dapat terlalu mengganggu host atau kontainer lainnya.

Runtime Threat Detection - Kemampuan yang mendeteksi ancaman aktif terhadap aplikasi dalam container saat runtime dan meresponsnya secara otomatis.

Access Controls - Modul keamanan Linux, seperti AppArmor atau SELinux, digunakan untuk menjalankan kontrol akses.

Ada beberapa metode kunci yang mengarsipkan keamanan container.

  • Mengontrol akses melalui oAuth
  • Melalui konsol web swalayan
  • Dengan Sertifikat platform

Mengontrol Akses melalui OAuth

Dalam metode ini, otentikasi ke akses kontrol API diarsipkan dan mendapatkan token aman untuk otentikasi melalui server OAuth, yang hadir di mesin master OpenShift. Sebagai administrator, Anda memiliki kemampuan untuk mengubah konfigurasi konfigurasi server OAuth.

Untuk detail selengkapnya tentang konfigurasi server OAuth, lihat Bab 5 dari tutorial ini.

Melalui Konsol Web Swalayan

Fitur keamanan konsol web ini ada di dalam konsol web OpenShift. Konsol ini memastikan bahwa semua tim yang bekerja bersama tidak memiliki akses ke lingkungan lain tanpa otentikasi. Master multi-telnet di OpenShift memiliki fitur keamanan berikut -

  • Lapisan TCL diaktifkan
  • Menggunakan sertifikat x.509 untuk otentikasi
  • Mengamankan konfigurasi etcd pada mesin master

Dengan Sertifikat Platform

Dalam metode ini, sertifikat untuk setiap host dikonfigurasi selama penginstalan melalui Ansible. Karena menggunakan protokol komunikasi HTTPS melalui Rest API, kami memerlukan koneksi aman TCL ke berbagai komponen dan objek. Ini adalah sertifikat yang telah ditentukan sebelumnya, namun, seseorang bahkan dapat memiliki sertifikat khusus yang diinstal pada cluster master untuk akses. Selama penyiapan awal master, sertifikat kustom dapat dikonfigurasi dengan menimpa menggunakan sertifikat yang sudah adaopenshift_master_overwrite_named_certificates parameter.

Example

openshift_master_named_certificates = [{"certfile": "/path/on/host/to/master.crt", 
"keyfile": "/path/on/host/to/master.key", 
"cafile": "/path/on/host/to/mastercert.crt"}]

Untuk detail lebih lanjut tentang cara menghasilkan sertifikat khusus, kunjungi tautan berikut -

https://www.linux.com/learn/creating-self-signed-ssl-certificates-apache-linux

Keamanan jaringan

Di OpenShift, Software Defined Networking (SDN) digunakan untuk komunikasi. Namespace jaringan digunakan untuk setiap pod dalam kluster, di mana setiap pod mendapatkan IP-nya sendiri dan berbagai port untuk mendapatkan lalu lintas jaringan di dalamnya. Dengan metode ini, seseorang dapat mengisolasi pod karena tidak dapat berkomunikasi dengan pod di project lain.

Mengisolasi Proyek

Ini dapat dilakukan oleh admin cluster menggunakan berikut ini oadm command dari CLI.

$ oadm pod-network isolate-projects <project name 1> <project name 2>

Ini berarti bahwa proyek yang ditentukan di atas tidak dapat berkomunikasi dengan proyek lain di cluster.

Keamanan Volume

Keamanan volume jelas berarti mengamankan PV dan PVC proyek di cluster OpenShift. Ada empat bagian utama untuk mengontrol akses ke volume di OpenShift.

  • Grup Tambahan
  • fsGroup
  • runAsUser
  • seLinuxOptions

Grup Tambahan - Grup tambahan adalah grup Linux biasa. Ketika suatu proses berjalan di sistem, itu berjalan dengan ID pengguna dan ID grup. Grup ini digunakan untuk mengontrol akses ke penyimpanan bersama.

Periksa pemasangan NFS menggunakan perintah berikut.

# showmount -e <nfs-server-ip-or-hostname>
Export list for f21-nfs.vm:
/opt/nfs *

Periksa detail NFS di server pemasangan menggunakan perintah berikut.

# cat /etc/exports
/opt/nfs *(rw,sync,no_root_squash)
...
# ls -lZ /opt/nfs -d
drwxrws---. nfsnobody 2325 unconfined_u:object_r:usr_t:s0 /opt/nfs
# id nfsnobody
uid = 65534(nfsnobody) gid = 454265(nfsnobody) groups = 454265(nfsnobody)

The / opt / nfs / ekspor dapat diakses oleh UID454265 dan grup 2325.

apiVersion: v1
kind: Pod
...
spec:
   containers:
   - name: ...
      volumeMounts:
      - name: nfs
         mountPath: /usr/share/...
   securityContext:
      supplementalGroups: [2325]
   volumes:
   - name: nfs
      nfs:
      server: <nfs_server_ip_or_host>
      path: /opt/nfs

fsGroup

fsGroup adalah singkatan dari grup sistem file yang digunakan untuk menambahkan grup pelengkap kontainer. ID grup tambahan digunakan untuk penyimpanan bersama dan fsGroup digunakan untuk penyimpanan blok.

kind: Pod
spec:
   containers:
   - name: ...
   securityContext:
      fsGroup: 2325

runAsUser

runAsUser menggunakan ID pengguna untuk komunikasi. Ini digunakan untuk menentukan gambar container dalam definisi pod. Satu pengguna ID dapat digunakan di semua penampung, jika diperlukan.

Saat menjalankan penampung, ID yang ditentukan cocok dengan ID pemilik di ekspor. Jika ID yang ditentukan ditentukan di luar, maka ID tersebut menjadi global untuk semua kontainer di dalam pod. Jika ditentukan dengan pod tertentu, maka itu menjadi khusus untuk satu penampung.

spec:
   containers:
   - name: ...
      securityContext:
         runAsUser: 454265