Чтобы повысить защищенность кластера и развернутых в нем приложений, мы используем проверенные Open Source-инструменты и лучшие практики DevSecOps. В платформе реализованы продвинутые механизмы аутентификации и авторизации, шифрование, аудит и другие важные функции. Все инструменты и политики преднастроены: вы разворачиваете Deckhouse — и получаете уже защищенный кластер.
Безопасность Deckhouse
Главные особенности
CIS Benchmarks
Deckhouse соответствует рекомендациям CIS Kubernetes Benchmark recommendations*. Это реализовано на уровне компонентов и платформы в целом. Например, можно указывать сетевые привязки только к нужным интерфейсам, запретить анонимный доступ, использовать сертификаты, права на файлы и каталоги.
Также для проверки соответствия CIS Benchmarks в каждом кластере Deckhouse запускаются автоматические тесты. Отчеты с результатами выводятся в дашборде Grafana.
* CIS Kubernetes Benchmark — набор рекомендаций по созданию надежной системы безопасности для ПО на базе Kubernetes.
SELinux
Security-Enhanced Linux (SELinux)* — стандарт для защиты Linux-дистрибутивов. В дистрибутивах, которые используются в Deckhouse, можно активировать принудительное включение режима SELinux.
* SELinux определяет политики доступа к приложениям, процессам и файлам.
PCI SSC
Deckhouse соответствует большинству рекомендаций PCI Security Standards Council (PCI SSC)*. Платформа надежно защищена от угроз, актуальных для платежных систем, в которых применяются контейнерные технологии. Для оценки защищенности Deckhouse мы использовали «Руководство по контейнерам и инструментам оркестровки контейнеров».
Скачать отчет* PCI SSC — организация, которая помогает разрабатывать, применять и улучшать стандарты безопасности для защиты платежных систем.
ФСТЭК
В настоящий момент Deckhouse проходит сертификационные испытания на соответствие:
- требованиям по безопасности информации к средствам контейнеризации, которые утверждены приказом ФСТЭК России от 4 июля 2022 г. № 118 по 4-му классу;
- требованиям по безопасности информации, которые устанавливают уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (утверждены приказом ФСТЭК России от 2 июня 2020 г. № 76 по 4-му уровню доверия).
Инструменты и лучшие практики
Deckhouse предоставляет продуманную безопасность «из коробки».
- Федеративный провайдер аутентификации с возможностью подключения любых внешних служб каталогов. Управляйте актуальным каталогом пользователей там, где вам привычно.
- Сквозная авторизация на основе ролей, которая расширяет функциональность стандартного механизма RBAC. Гибкое централизованное управление доступами. 7 предустановленных ролей плюс возможность создания новых.
- Продвинутые сетевые политики на базе Cilium.
- Аудит событий Kubernetes для учета операций в кластере и анализа ошибок.
- Политики безопасности согласно рекомендациям Pod Security Standards с тремя предустановленными уровнями ограничений и возможностью расширения.
- Рекомендованный набор операционных политик и лучших практик для работы ваших приложений с возможностью расширения.
- Модуль для поиска угроз безопасности с набором встроенных правил и возможностью их расширения.
- Централизованное управление TLS-сертификатами: контроль актуальности, заказ и перевыпуск, а также выпуск самоподписанных.
- Ежедневное сканирование образов контейнеров на уязвимости с предоставлением отчета.
Сборка компонентов
Принципы работы с образами
- Docker-образы для всех компонентов платформы можно скачивать только из репозитория Deckhouse.
- Из оригинальных образов от разработчиков ПО используются только нужные бинарные файлы.
- Все зависимости на оригинальные образы, а также SHA256-digest образа строго прописаны. Результирующий образ собирается из нашего базового образа.
- Для сборки базового образа почти всегда используем Alpine — самый безопасный дистрибутив Linux.
- Регулярно обновляем компоненты Deckhouse и Kubernetes.
Отбор и тестирование компонентов
- Тщательно выбираем софтИспользуем только те решения, которые доказали свою надежность в наших проектах и в Open Source-сообществе.
- Большинство проверок автоматизированы, за это отвечают линтерыНапример, они отслеживают корректную конфигурацию Dockerfile’ов и запрещают использовать сторонние образы.
- Сборка в CI ежедневно сканируется на CVEОтчет о сканировании отправляется разработчикам. Разбираем инциденты уровня Sn и выше в течение 3 часов, уровня Sn-Sk — в течение 24 часов.
Настройка и взаимодействие компонентов
Надежная иерархия прав доступа
- Каждый компонент запускается с минимальными правами доступа в Kubernetes, которые достаточны для его работы (минимальный RBAC).
- Компоненты не запускаются под root-правами. Исключения явно прописаны в списке разрешений.
- Корневая файловая система открыта только на чтение, за исключением отдельных директорий.
- Ни один компонент Deckhouse не открывает локальный порт без TLS-шифрования и аутентификации.
Авторизация (минимальный RBAC)
- Линтеры проверяют, что RBAC-права описаны в определенном файле каждого модуля Deckhouse явно и однозначно. Это обеспечивает единую точку контроля.
- Названия для Service Accounts, Roles, RoleBindings и т. п. строго регламентированы — это защищает от человеческих ошибок.
- Аутентификация между компонентами кластера всегда проводится одним из двух способов: через TLS или с помощью bearer-токенов. Авторизация — через механизмы Kubernetes (SubjectAccessReview).
Roadmap
Мы постоянно повышаем уровень безопасности Deckhouse.
За планом по добавлению новых функций и улучшению существующих можно следить в нашем roadmap.
Нашли уязвимость?
Если вы нашли уязвимость в Deckhouse Kubernetes Platform, пожалуйста,сообщите о ней, заполнив информацию в форме обратной связи.
Мы рассмотрим обращение и при необходимости свяжемся с вами, чтобы получить дополнительную информацию и как можно скорее исправить проблему.
