Bảo mật Kubernetes: Thực hành tốt nhất để bảo vệ cụm của bạn

Kubernetes đã trở thành một trong những nền tảng phổ biến nhất cho việc triển khai và quản lý container. Tuy nhiên, với sự gia tăng độ phổ biến, an ninh cũng trở nên quan trọng hơn bao giờ hết. Trong bài viết này, chúng ta sẽ khám phá 12 thực hành bảo mật tốt nhất cho Kubernetes để bảo vệ cụm của bạn.

Mục lục

1. Sử dụng Container không phải Root
2. Không sử dụng Container có quyền truy cập cao
3. Không sử dụng HostPath Volumes
4. Không sử dụng HostPort
5. Không chia sẻ không gian tên của Host
6. Bỏ các quyền Linux không cần thiết
7. Không vô hiệu hóa AppArmor
8. Không ghi đè Mount /proc không phải mặc định
9. Không sử dụng các loại volume không an toàn
10. Không đặt tùy chọn SELinux tùy chỉnh
11. Giữ Seccomp Profile mặc định
12. Cẩn thận với Sysctls không an toàn

1. Sử dụng Container không phải Root

Luôn cố gắng chạy các container với người dùng không phải root. Mặc định, các container thực thi như người dùng root trong container, trừ khi hình ảnh hoặc securityContext của Kubernetes chỉ định điều khác. Nếu bạn chạy một container với quyền root, một kẻ tấn công có thể dễ dàng có quyền truy cập vào hệ thống.

Thực hành tốt:

• Tạo một người dùng không có quyền trong hình ảnh container của bạn.
• Sử dụng securityContext trong Kubernetes để yêu cầu người dùng không phải root:

securityContext:
  runAsUser: 1000
  runAsNonRoot: true

2. Không sử dụng Container có quyền truy cập cao

Tránh chạy các container ở chế độ privileged trừ khi thật sự cần thiết. Container được cấp quyền đầy đủ có thể truy cập tất cả các thiết bị của host, điều này có thể dẫn đến việc một kẻ tấn công dễ dàng chiếm quyền điều khiển node.

Thực hành tốt:

• Sử dụng securityContext.privileged: false trong manifest của bạn để đảm bảo không sử dụng quyền truy cập cao.

3. Không sử dụng HostPath Volumes

Tránh sử dụng hostPath volumes trong Pods của bạn. hostPath cho phép container truy cập trực tiếp vào hệ thống tệp của host, làm tăng rủi ro an ninh.

Lưu ý:

• Sử dụng các loại volumes an toàn hơn như ConfigMap hoặc Secrets.

4. Không sử dụng HostPort

Cẩn thận với cài đặt hostPort. Mở cổng trên node Kubernetes có thể tạo ra lỗ hổng bảo mật.

Thực hành tốt:

• Sử dụng các Kubernetes Services (NodePort hoặc LoadBalancer) để phục vụ các trường hợp sử dụng mà không cần mở cổng host.

5. Không chia sẻ không gian tên của Host

Chia sẻ không gian mạng, PID hoặc IPC với host có thể dẫn đến việc lộ thông tin nhạy cảm.

Lưu ý:

• Để mặc định các trường này là false hoặc không được thiết lập.

6. Bỏ các quyền Linux không cần thiết

Bỏ tất cả các quyền không cần thiết từ container. Điều này tuân theo nguyên tắc quyền tối thiểu.

Thực hành tốt:

securityContext:
  capabilities:
    drop: ["ALL"]
    add: ["NET_BIND_SERVICE"]

7. Không vô hiệu hóa AppArmor

Tránh vô hiệu hóa hoặc ghi đè các profile AppArmor. AppArmor giúp hạn chế những gì một container có thể làm ở cấp độ hệ thống.

Lưu ý:

• Sử dụng profile mặc định hoặc một profile đã được tùy chỉnh.

8. Không ghi đè Mount /proc không phải mặc định

Đảm bảo các container của bạn sử dụng hành vi mount /proc mặc định.

Thực hành tốt:

• Giữ procMount là Default.

9. Không sử dụng các loại volume không an toàn

Sử dụng các loại volume an toàn như ConfigMap, Secrets, hoặc PersistentVolumeClaim.

Lưu ý:

• Tránh sử dụng hostPath, NFS và các loại volume có rủi ro cao khác.

10. Không đặt tùy chọn SELinux tùy chỉnh

Tránh chỉ định SELinux tùy chọn tùy chỉnh cho pod của bạn. Điều này có thể làm yếu đi sự cô lập.

11. Giữ Seccomp Profile mặc định

Bật profile seccomp cho các container của bạn. Điều này giúp hạn chế các cuộc gọi hệ thống không cần thiết.

Thực hành tốt:

• Sử dụng RuntimeDefault cho seccomp profile.

12. Cẩn thận với Sysctls không an toàn

Đừng bật sysctls không an toàn trong Pods của bạn. Điều này có thể ảnh hưởng đến tính ổn định và bảo mật của node.

Kế hoạch Hành động Bảo mật Kubernetes của bạn

Bằng cách tuân thủ 12 thực hành bảo mật tốt nhất này, bạn sẽ tăng cường bảo mật cho cụm Kubernetes của mình. Hãy tích hợp các kiểm tra này vào quy trình phát triển và CI/CD của bạn. Đừng quên theo dõi để cập nhật những bài viết mới và cải tiến cho bảo mật Kubernetes của bạn!