Внутренняя безопасность в Kubernetes | OTUS
Скидка до 15% на курсы ноября, декабря и января
❄️ До 22.12 Забрать скидку! →
Выбрать курс

Внутренняя безопасность в Kubernetes

Все знают про аутентификацию, авторизацию и аудит в Kubernetes. Но нередко возникает вопрос: «Как правильно строить аутентификацию?» Дело в том, что тут есть ряд антипаттернов:

1-20219-bb446d.png

Но на практике, чаще всего, у компаний есть каталог пользователя, например, Active Directory, и они хотят связать его с Kubernetes. Есть несколько способов это сделать: 1. Authenticating Proxy. 2. Webhook Token Authentication. 3. OpenID Connect Tokens.

Один из лучших вариантов с точки зрения специалистов из Mail.ruOpenID Connect Tokens. Наверное, все знают про безопасный протокол аутентификации OAuth 2.0. Так вот, OpenID Connect является его расширением. Вся фишка в том, что вы интегрируете Кубернетес не напрямую с Active Directory, а ставите посредника, для которого настраивается федерация с Active Directory. При этом в AD хранятся пользователи, пароли и группы, а в IAM пароли уже не хранятся, зато хранится гораздо больше другой информации (аудит логов пользователей, сессии и т. п., плюс можно настроить политику паролей или 2-факторную авторизацию). Далее Kubernetes настраивается на доверие с IAM:

2-20219-2d8830.png

Почему OpenID Connect — это круто:

  1. Он удобен.
  2. Обеспечивается повышенная безопасность.
  3. Это больше, чем проверка Username/Password.
  4. ID-токены OIDS короткоживущие, следовательно, меньше риски, плюс есть Renew tokens.
  5. Можно настроить 2-Factor Auth: TOTP-токены.

Стоит добавить, что сегодня на рынке много OpenID Connect-провайдеров, как публичных, так и Private.

3-20219-fab09d.png

Также стоит учитывать, что вам придётся по-другому работать с Kubectl и указывать много дополнительных параметров:

4-20219-202896.png

В принципе, эта проблема минимизируется путём применения хелперов:

5-20219-619c17.png

Читайте также: • Безопасность в Kubernetes. Docker Image Security; • Безопасность в Kubernetes: Host Level Security; • Безопасность в Kubernetes: Container Runtime Security; • Сетевая безопасность в Kubernetes.

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться
Популярное
Сегодня тут пусто
Новогодние скидки в Otus!-15% ❄️
Успейте забрать свою скидку до 22.12 →