Безопасность в Kubernetes: Host Level Security | OTUS
+7 499 938-92-02
Блоги Посты Лучшие Участники
Поиск
Поиск
Андрей Павленко
19.06.19 в 09:22

Безопасность в Kubernetes: Host Level Security

DevOpsПолезные материалы по DevOps
Теги: host, level security, безопасность в kubernetes, hardened operation system, readonly root file system, fedora atomic host, bastion nodes

DevOps_Deep_20.11-5020-842970.png

Продолжаем обзор выступления Дмитрия Лазаренко, руководителя PaaS-направления в Mail.Ru Cloud Solutions. В предыдущей статье мы говорили о Docker Image Security, сегодня раскроем тему очередного уровня безопасности в Kubernetes — Host Level Security.

Особенности безопасности на уровне хоста

Можно сказать, что здесь всё более-менее стандартно. Во-первых, банкам и госкомпаниями нужно использовать Hardened Operation System — то есть операционные системы, из которых вырезаны все ненужные пакеты, а настройки безопасности включены по максимуму. При этом нужно помнить, что Kubernetes может обновляться, а с ним может обновляться и операционная система — следовательно, настройки могут слететь. Также следует учесть, что в облаке можно делать обновления не патчингом операционной системы, а простой заменой Image целиком.

Во-вторых, существует базовая настройка безопасности Readonly root file system, которую мы включаем автоматом (корневая файловая система, исключающая загрузку вредоносных эксплойтов на хост-машину). Она по умолчанию доступна в: — CoreOS; — Google Container Optimized OS; — Fedora Atomic Host.

Fedora Atomic Host

Система построена на базе принципов Git: — каждое изменение в операционной системе является фактически отдельным коммитом; — любое обновление ОС = новая версия ОС; — в любой момент можно сделать полный транзакционный откат конфигурации; — в Atomic Host реализован механизм rpm-ostree.

No public IP!

Последний паттерн, который стоит обозначить, особенно, когда речь идёт о публичном облаке, — не «светите» IP-адреса ваших нод-машин (мастера, миньонов). Одно из решений заключается в том, чтобы все машины Kubernetes не содержали внешнего IP, а всегда находились в выделенной сетке. Доступ к ним лучше организовать через балансировщик, либо через специальный бастион нодов. Bastion nodes — это виртуальная машина, у которой уже есть внешний IP, например она содержит какой-либо VPN-сервер. И эта виртуалка находится в сети Kubernetes, а получить доступ к Kubernetes можно только через неё, безопасно авторизовавшись в VPN-сервере.

В следующий раз подробно обсудим очередной уровень безопасности — Container Runtime Security.

Читайте также: Безопасность в Kubernetes. Docker Image Security

Поделиться
1
0
19

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
Андрей Павленко
Рейтинг:
+2703
2147 дней
0 комментариев
Для комментирования необходимо авторизоваться
Популярное
Сегодня тут пусто
Посещая наш сайт, вы принимаете политику использования cookie-файлов

Подписка на новости IT, анонсы открытых уроков, спец. предложения

По всем вопросам пишите на [email protected]

Сведения об образовательной организации

OTUS является аккредитованной IT-компанией

Сведения о рекомендательных технологиях

Канал в Telegram

Группа в Telegram
Корпоративное обучение
Каталог курсов
Курсы в разработке
Программы лояльности
Каталог профессий
Наши партнеры
Стать преподавателем
О нас
СМИ о нас
Отзывы
Контакты
Блог
FAQ

© 2015-2024 OTUS

Пользовательское соглашение
Премия Рунета
2018
Премия Рунета
2018

Восстановление пароля

Введите электронную почту для восстановления пароля
Пользователь с таким email не найден

Ваш телефон уже привязан к
другой учетной записи

Ваш телефон уже привязан к учетной записи . Выберите учетную запись, с которой желаете продолжить работу. Мы привяжем к ней телефон.

Заполните номер телефона
Для отправки заявки в преподаватели заполните номер телефона