Безопасность в Kubernetes: Container Runtime Security | OTUS

Курсы

Программирование
Microservice Architecture
-5%
React.js Developer
-4%
C++ Developer. Professional
-5%
Scala-разработчик
-8%
Backend-разработчик на PHP
-9%
Алгоритмы и структуры данных
-9%
Python Developer. Basic
-12%
Golang Developer. Professional
-5%
HTML/CSS
-11%
C# ASP.NET Core разработчик
-5%
Kotlin Backend Developer
-8%
iOS Developer. Professional
-8%
Java Developer. Professional Web-разработчик на Python MS SQL Server Developer Android Developer. Basic Разработчик программных роботов (RPA) на базе UiPath и PIX Highload Architect Reverse-Engineering. Professional Vue.js разработчик Node.js Developer Интенсив «Оптимизация в Java» Супер-практикум по использованию и настройке GIT Symfony Framework Java Developer. Basic Unity Game Developer. Professional Супер-интенсив Azure
Инфраструктура
Microservice Architecture
-5%
Экспресс-курс «IaC Ansible»
-10%
Administrator Linux.Basic
-10%
Мониторинг и логирование: Zabbix, Prometheus, ELK
-10%
Экспресс-курс «CI/CD или Непрерывная поставка с Docker и Kubernetes»
-30%
Administrator Linux. Professional
-6%
Экcпресс-курс «ELK»
-10%
Экспресс-курс по управлению миграциями (DBVC)
-10%
Базы данных Network engineer Разработчик программных роботов (RPA) на базе UiPath и PIX Highload Architect Разработчик голосовых ассистентов и чат-ботов VOIP инженер Супер-практикум по работе с протоколом BGP Супер - интенсив по паттернам проектирования Супер - интенсив по Kubernetes Супер-интенсив "Tarantool"
Специализации Курсы в разработке Подготовительные курсы
+7 499 938-92-02

Безопасность в Kubernetes: Container Runtime Security

Kuber_Deep_31.3-5020-f35387.png

Продолжаем обзор выступления Дмитрия Лазаренко, руководителя PaaS-направления в Mail.Ru Cloud Solutions. Тема сегодняшней статьи — Container Runtime Security.

Предыдущие статьи: 1. Безопасность в Kubernetes. Docker Image Security. 2. Безопасность в Kubernetes: Host Level Security.

Итак, вы настроили всё на хост-машине, проверили Docker Images, но всё равно есть вероятность, что появится какой-то эксплойт, о котором вы не знаете, то есть вас могут хакнуть. Невозможно гарантировать защиту только за счёт исключения известных уязвимостей — есть и неизвестные уязвимости, уязвимости нулевого дня.

Что следует делать: 1. Создать среду, в которой максимально всё ограничено. 2. Всё, что выходит за рамки дозволенного и не находится в white-листе, будет вызывать Alarm администратору либо блокировку.

Хорошая новость заключается в том, что всё это можно делать в Kubernetes. Для этого есть разные механизмы, например Pod Security Policies. Все контейнеры и поды, которые деплоятся, запускаются не под рутом, они не могут писать в файловую корневую систему — в общем, это всё настроить не проблема.

1-20219-9dab56.png

Есть и более параноидальные штуки, например, обязательный контроль доступа в SELinux (Mandatory aсcess control). Одна из его проблем — он очень сложный, низкоуровневый и настройка — это большая боль. Также тут стоит упомянуть AppArmor — это лайт-версия SELinux (он уже проще по настройке).

Существуют и техники Sandboxing’a с политиками (seccomp-bpf), но они тоже низкоуровневые, потому что приходится определять, какие системные вызовы вызывать можно, а какие нет. В итоге процесс, который попытается выполнить недозволенные действия, просто будет потушен.

Что делать, если мы хотим выполнять настройки на верхнем уровне?

Этот вопрос уже решается другими инструментами, не входящими в Kubernetes. Существует такая технология — Sysdig Falco — она позволяет реализовать умную безопасность, то есть безопасность на уровне информационных потоков, к слову, достаточно высокоуровневую.

Технология весьма хороша. По умолчанию она не запрещающая, но можно настроить нужный вам пайплайн. Вы настраиваете декларативно правила, создавая некий White-лист действий: — какие процессы/команды могут быть запущены в Docker-контейнере; — какие процессы могут устанавливать исходящие соединения или принимать входящие; — какие порты могут слушаться; — в какие файлы и папки можно писать; — какие вызовы ядра Linux могут выполняться.

Что можно таким образом отловить и как реагировать:

2-20219-a02c4d.png

Теперь давайте посмотрим, как это настраивается. В принципе, правила достаточно простые:

3-20219-501b8b.png

Но можно сделать ещё круче, организовав полностью автоматизированный пайплайн:

4-20219-51d5f7.png

Что здесь происходит? Если Falco обнаружит критическую активность, он может записать сообщение в шину данных или в Message queue типа NUTS (стандартный Message queue в Kubernetes), а на этот Message queue будет подписан какой-то процесс, например, kubeless, который удалит подозрительные поды. Вот так. И даже существует проектик, который позволяет это сделать, — держите ссылку на GitHub.

Что же, на этом всё, на очереди сетевая безопасность в Kubernetes, следите за новостями!

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться