KUNGFU TECH

0
0
Lập trình
Sơn Tùng Lê
Sơn Tùng Lê103931498422911686980

Bảo Mật Kubernetes: Các Tính Năng An Ninh Mặc Định Quan Trọng

Đăng vào 1 tháng trước

• 4 phút đọc

Chủ đề:

SecurityKubernetesK8SCloudCNCF

Giới thiệu về Bảo Mật trong Kubernetes

Trong bối cảnh phát triển nhanh chóng của các công cụ và công nghệ trong lĩnh vực điện toán đám mây, việc đảm bảo an ninh cho cụm Kubernetes ngày càng trở nên quan trọng. Bài viết này sẽ khám phá các tính năng bảo mật có sẵn trong Kubernetes mà nhiều người có thể bỏ qua nhưng lại đóng vai trò thiết yếu trong việc bảo vệ hệ thống.

Sử dụng Namespace để Quản lý và Bảo mật

Namespace là một trong những công cụ quan trọng trong Kubernetes, giúp tạo ra các không gian độc lập để quản lý tài nguyên như Pod, Service, ConfigMap và Secret. Việc sử dụng Namespace mang lại nhiều lợi ích như:

  • Tách biệt môi trường triển khai (dev, staging và production) để tăng cường bảo mật.
  • Cung cấp nền tảng cho các biện pháp bảo mật như ResourceQuota, RBAC và NetworkPolicy.
  • Giúp dễ dàng quản lý cấu hình ứng dụng (ConfigMaps, Secrets) cho từng môi trường.

Nếu không áp dụng Namespace một cách hợp lý, việc đảm bảo an ninh cho ứng dụng sẽ gặp khó khăn.

Chính Sách Mạng (Network Policy)

NetworkPolicy cho phép quản lý và kiểm soát lưu lượng mạng giữa các Pod và các dịch vụ bên ngoài. Mặc định, Kubernetes cho phép giao tiếp tự do giữa các Pod trong cụm, nhưng với NetworkPolicy, bạn có thể:

  • Giới hạn lưu lượng mạng chỉ trong nội bộ ứng dụng, tăng cường bảo mật.
  • Ngăn chặn lưu lượng từ các Pod bị xâm nhập đến các Pod khác.
  • Hạn chế truy cập từ môi trường staging đến production, đảm bảo an toàn cho tài nguyên.
  • Chỉ cho phép lưu lượng từ các dịch vụ nhất định, bảo vệ dữ liệu nhạy cảm.

Dưới đây là ví dụ về file manifest cho NetworkPolicy:

Copy 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-access
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: database
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: backend

Quản lý Quyền Truy Cập bằng RBAC

Role-Based Access Control (RBAC) là cơ chế trọng yếu trong việc quản lý quyền truy cập vào tài nguyên trong cụm Kubernetes. RBAC cho phép quản trị viên xác định rõ ai có thể thực hiện hành động nào trên tài nguyên nào, góp phần bảo vệ cụm khỏi các hoạt động trái phép.

Các thành phần chính của RBAC

  • Chủ thể (Subjects): Người dùng, tài khoản dịch vụ và nhóm.
  • Vai trò (Roles): Định nghĩa tập hợp các quyền trên một phạm vi tài nguyên cụ thể.
  • RoleBindings/ClusterRoleBindings: Liên kết vai trò với chủ thể để quản lý quyền truy cập.

RBAC thường được sử dụng để kiểm soát quyền truy cập, phân quyền theo nhóm hoặc dự án và bảo vệ tài nguyên nhạy cảm.

Tiêu chuẩn Bảo mật Pod (Pod Security Standard - PSS)

Pod Security Standards (PSS) cung cấp ba cấp độ bảo mật cho việc triển khai Pod: Privileged, Baseline và Restricted. Mục đích của PSS là đảm bảo an toàn cho cụm Kubernetes bằng cách quản lý quyền truy cập và việc sử dụng tính năng nhạy cảm trong container.

Các cấp độ bảo mật

  • Privileged: Cấp độ bảo mật thấp nhất, các Pod được quyền truy cập hoàn toàn.
  • Baseline: Giới hạn quyền truy cập nhưng vẫn cho phép một số tính năng cần thiết.
  • Restricted: Cấp độ bảo mật cao nhất, ngăn chặn hầu hết các hành vi nhạy cảm.

PSS giúp ngăn chặn các cuộc tấn công từ bên trong, đảm bảo tuân thủ quy định bảo mật và hạn chế thiệt hại khi có sự cố xảy ra.

Bối Cảnh An Ninh (Security Context)

Security Context cho phép quản lý và kiểm soát quyền truy cập của từng Pod hoặc Container. Việc cấu hình Security Context giúp bảo vệ ứng dụng khỏi các mối đe dọa bảo mật. Một số ứng dụng của Security Context bao gồm:

  • Chạy container không có quyền root để giảm thiểu nguy cơ tấn công.
  • Giới hạn khả năng hệ thống cho từng container theo nhu cầu.
  • Mount hệ thống file chỉ với quyền đọc để bảo vệ chống lại việc thay đổi không mong muốn.

Ví dụ về Security Context:

Copy 
apiVersion: v1
kind: Pod
metadata:
  name: secure-pod
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
    allowPrivilegeEscalation: false
  containers:
  - name: my-container
    image: nginx
    securityContext:
      capabilities:
        drop:
        - NET_ADMIN
        - SYS_TIME
      readOnlyRootFilesystem: true
      runAsNonRoot: true

Kết luận

Bài viết đã giới thiệu bốn tính năng bảo mật có sẵn trong Kubernetes, bao gồm Namespace, Network Policy, RBAC, và Pod Security Standard. Bạn không cần phải áp dụng tất cả các tính năng này cùng lúc, mà có thể lựa chọn các tính năng phù hợp với yêu cầu bảo mật của hệ thống của mình. Nếu bạn có thêm các tính năng bảo mật khác trong Kubernetes mà mình chưa đề cập, hãy chia sẻ ý kiến của bạn bên dưới. Nếu bạn thấy bài viết này hữu ích, hãy nhấn Upvote và Follow để theo dõi các nội dung liên quan đến DevOps và SRE trong tương lai!

Chuyên mục Quảng cáo

Nếu bạn cần hỗ trợ về các vấn đề chuyên môn hay DevOps, hãy liên hệ với tôi để thảo luận thêm tại hoangviet.io.vn.
source: viblo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào