Позволяет использовать в кластере политики безопасности согласно Pod Security Standards Kubernetes. Модуль для работы использует Gatekeeper.
Pod Security Standards определяют три политики, охватывающие весь спектр безопасности. Эти политики являются кумулятивными, то есть состоящими из набора политик, и варьируются по уровню ограничений от «неограничивающего» до «ограничивающего значительно».
Модуль не применяет политики к системным пространствам имен.
Список политик, доступных для использования:
Privileged— неограничивающая политика с максимально широким уровнем разрешений;Baseline— минимально ограничивающая политика, которая предотвращает наиболее известные и популярные способы повышения привилегий. Позволяет использовать стандартную (минимально заданную) конфигурацию пода;Restricted— политика со значительными ограничениями. Предъявляет самые жесткие требования к подам.
Подробнее про каждый набор политик и их ограничения можно прочитать в документации Kubernetes.
Политика кластера используемая по умолчанию определяется следующим образом:
- При установке Deckhouse версии ниже v1.55, для всех несистемных пространств имен используется политика по умолчанию
Privileged; - При установке Deckhouse версии v1.55 и выше, для всех несистемных пространств имен используется политика по умолчанию
Baseline;
Обратите внимание, что обновление Deckhouse в кластере на версию v1.55 не вызывает автоматической смены политики по умолчанию.
Политику по умолчанию можно переопределить как глобально (в настройках модуля), так и для каждого пространства имен отдельно (лейбл security.deckhouse.io/pod-policy=<POLICY_NAME> на соответствующем пространстве имен).
Пример установки политики Restricted для всех подов в пространстве имен my-namespace:
kubectl label ns my-namespace security.deckhouse.io/pod-policy=restricted
По умолчанию, политики Pod Security Standards применяются в режиме “Deny” и поды приложений, не удовлетворяющие данным политикам, не смогут быть запущены. Режим работы политик может быть задан как глобально для кластера так и для каждого namespace отдельно. Что бы задать режим работы политик глобально используйте configuration. В случае если необходимо переопределить глобальный режим политик для определенного namespace, допускается использовать лейбл security.deckhouse.io/pod-policy-action =<POLICY_ACTION> на соответствующем namespace. Список допустимых режимом политик состоит из: “dryrun”, “warn”, “deny”.
Пример установки “warn” режима политик PSS для всех подов в пространстве имен my-namespace:
kubectl label ns my-namespace security.deckhouse.io/pod-policy-action=warn
Предлагаемые модулем политики могут быть расширены. Примеры расширения политик можно найти в FAQ.
Операционные политики
Модуль предоставляет набор операционных политик и лучших практик для безопасной работы ваших приложений. Мы рекомендуем устанавливать следующий минимальный набор операционных политик:
---
apiVersion: deckhouse.io/v1alpha1
kind: OperationPolicy
metadata:
name: common
spec:
policies:
allowedRepos:
- myrepo.example.com
- registry.deckhouse.io
requiredResources:
limits:
- memory
requests:
- cpu
- memory
disallowedImageTags:
- latest
requiredProbes:
- livenessProbe
- readinessProbe
maxRevisionHistoryLimit: 3
imagePullPolicy: Always
priorityClassNames:
- production-high
- production-low
checkHostNetworkDNSPolicy: true
checkContainerDuplicates: true
match:
namespaceSelector:
labelSelector:
matchLabels:
operation-policy.deckhouse.io/enabled: "true"
Для применения приведенной политики достаточно навесить лейбл operation-policy.deckhouse.io/enabled: "true" на желаемый namespace. Политика, приведенная в примере, рекомендована для использования командой Deckhouse. Аналогичным образом вы можете создать собственную политику с необходимыми настройками.
Политики безопасности
Модуль предоставляет возможность определять политики безопасности применимо к приложениям (контейнерам), запущенным в кластере.
Пример политики безопасности:
---
apiVersion: deckhouse.io/v1alpha1
kind: SecurityPolicy
metadata:
name: mypolicy
spec:
enforcementAction: Deny
policies:
allowHostIPC: true
allowHostNetwork: true
allowHostPID: false
allowPrivileged: false
allowedFlexVolumes:
- driver: vmware
allowedHostPorts:
- max: 4000
min: 2000
allowedProcMount: Unmasked
allowedAppArmor:
- unconfined
allowedUnsafeSysctls:
- kernel.*
allowedVolumes:
- hostPath
- projected
fsGroup:
ranges:
- max: 200
min: 100
rule: MustRunAs
readOnlyRootFilesystem: true
requiredDropCapabilities:
- ALL
runAsGroup:
ranges:
- max: 500
min: 300
rule: RunAsAny
runAsUser:
ranges:
- max: 200
min: 100
rule: MustRunAs
seccompProfiles:
allowedLocalhostFiles:
- my_profile.json
allowedProfiles:
- Localhost
supplementalGroups:
ranges:
- max: 133
min: 129
rule: MustRunAs
match:
namespaceSelector:
labelSelector:
matchLabels:
enforce: mypolicy
Для применения приведенной политики достаточно навесить лейбл enforce: "mypolicy" на желаемый namespace.
Изменение ресурсов Kubernetes
Модуль также позволяет использовать custom resource’ы Gatekeeper для легкой модификации объектов в кластере, такие как:
AssignMetadata— для изменения секции metadata в ресурсе;Assign— для изменения других полей, кроме metadata;ModifySet— для добавления или удаления значений из списка, например аргументов для запуска контейнера.
Пример:
apiVersion: mutations.gatekeeper.sh/v1
kind: AssignMetadata
metadata:
name: demo-annotation-owner
spec:
match:
scope: Namespaced
namespaces: ["default"]
kinds:
- apiGroups: [""]
kinds: ["Pod"]
location: "metadata.annotations.foo"
parameters:
assign:
value: "bar"
Подробнее про доступные варианты можно прочитать в документации Gatekeeper.