Kubernetes 是一個非常受歡迎的系統，可以幫助公司和開發者管理容器化的應用程式。隨著 Kubernetes 的普及，確保叢集和應用的安全變得非常重要。但同時，Kubernetes 的開發、部署和運行變得很複雜，這對很多開發者來說是個挑戰。為了解決這些問題，Kubernetes 官方提供了一些安全建議，幫助用戶應對這些挑戰並保護系統的安全。

Kubernetes 安全實踐建議

Kubernetes 是一個基於雲原生的系統，需要在開發、分發、部署和運行的不同階段中確保安全。他還借鑑了 CNCF 的安全實踐：

1. 開發階段：

   • 確保開發環境安全，使用零信任架構，並檢查程式碼和識別可能的威脅。
   • 使用自動化安全工具來幫助測試，例如模糊測試和混沌工程，來提升安全性。

2. 分發階段：

   • 確保容器鏡像和供應鏈的安全，進行漏洞掃描，並確保傳輸時資料加密。
   • 使用數位證書等方式來保護供應鏈的完整性。

3. 部署階段：

   • 限制部署的權限，驗證容器鏡像的安全性，確保 Kubernetes 叢集的安全。

4. 運行階段：

   • 保護 Kubernetes API，確保 API 流量經過 TLS 加密，並做好身份驗證和授權。
   • 確保計算資源的安全，使用容器安全標準、專用操作系統和資源配額管理。
   • 保護存儲資源，使用加密和備份策略來確保資料的安全和持久性。

5. 網路安全：

   • 使用 NetworkPolicy 和服務網格等技術來保護網路安全，並加密叢集中的網路流量。

6. 監控和執行階段安全：

   • 使用內建的工具和第三方工具來監控叢集和應用程序，確保日誌和監控數據的安全和完整。

Kubernetes 的安全機制

身份驗證與授權機制

Kubernetes 有多種身份驗證和授權機制，確保只有授權的用戶和組件能夠訪問和操作叢集資源：

• RBAC（基於角色的訪問控制）：Kubernetes 使用 RBAC 來定義誰可以做什麼，並且基於命名空間控制權限，確保只有合適的用戶有相應的權限。
• 服務帳戶（Service Accounts）：為 Pod 提供服務帳戶，並確保這些帳戶只擁有最低的權限，結合 RBAC 可以進一步控制權限。
• API Server 的身份驗證和 TLS 保護：API Server 是集群的核心入口，所有操作都經過它。Kubernetes 提供多種身份驗證機制（如 OAuth、X.509 證書等），並使用 TLS 來保護數據的傳輸安全。

Pod 安全策略

Kubernetes 使用 Pod 安全策略來確保應用的安全：

• 限制特權模式：確保容器以非特權用戶身份運行，限制容器使用過多權限，減少風險。
• Seccomp Profiles：限制容器內可以使用的系統調用，進一步保護主機系統。
• 只讀根文件系統：設置容器的根文件系統為只讀模式，防止應用進行不必要的修改，提高安全性。

網路安全與隔離

Kubernetes 使用多種方式來確保網路的安全，避免 Pod 之間的未經授權通信：

• 網路策略（Network Policies）：允許你控制 Pod 之間的通信規則，確保只有符合安全要求的流量能通過。
• 服務網格（Service Mesh）：整合 Istio 或 Linkerd 等服務網格，提供更高級的安全功能，如自動化的加密和服務之間的認證。

資源管理與隔離

為了確保不同工作負載之間不會互相影響，Kubernetes 提供了多種資源管理機制：

• 資源配額（Resource Quotas）和限制範圍（LimitRanges）：可以為不同的命名空間設置資源限制，確保資源公平分配，防止某些應用過度使用資源。
• 節點隔離（Node Isolation）：通過 nodeSelector、nodeAffinity 和 taints & tolerations 等方式，確保不同的應用被安排到適當的節點上進行隔離。

監控與審計

Kubernetes 強調監控和審計，以便及時發現並解決安全威脅：

• 審計日誌（Audit Logs）：記錄每一個 API 請求，無論成功或失敗。例如：

  {
    "kind": "Event",
    "apiVersion": "audit.k8s.io/v1",
    "level": "Metadata",
    "timestamp": "2024-10-18T12:00:00Z",
    "auditID": "abc123",
    "stage": "ResponseComplete",
    "requestURI": "/api/v1/namespaces/default/pods",
    "verb": "get",
    "user": {
      "username": "admin",
      "groups": ["system:masters", "system:authenticated"]
    },
    "sourceIPs": ["192.168.1.1"],
    "responseStatus": {
      "metadata": {},
      "code": 200
    }
  }
  

  這些審計日誌可以幫助追蹤異常活動，識別安全威脅，並進行合規審計。

• 監控和告警：Kubernetes 通常與 Prometheus 和 Grafana 等工具結合，來監控叢集的狀態和資源使用情況。例如，可以針對異常的 CPU 或記憶體使用設置告警，或在 Pod 無法啟動時收到通知，確保問題能被及時發現和處理。

• 加密與資料保護：在處理敏感數據時，Kubernetes 提供靜態加密和動態加密。例如，可以為 Secrets 啟用靜態加密，或者使用外部存儲的加密來確保資料安全。

小結

許多機制和資源，例如 RBAC、Pod 安全策略、Network Policies 等，我們已在之前的章節中介紹並實作。看完本章的內容後，相信大家對這些機制和資源的存在意義及其解決的問題會有更深入的理解。

Kubernetes 通過多層次的機制和最佳實踐來確保應用程序的安全。這些包括身份驗證、授權、資源管理、網路安全以及資料保護等方面的安全配置。這些功能不僅能滿足大多數應用的需求，還可以根據具體場景進行定制，以達到更高的安全防護水平。

參考

• 雲原生安全和 Kubernetes | Kubernetes
• 使用 seccomp 限制容器的系統調用 | Kubernetes