保护集群

本文档涵盖了与保护集群免受意外或恶意访问相关的主题，并提供了有关整体安全的建议。

准备工作

您需要有一个 Kubernetes 集群，并且 kubectl 命令行工具必须配置为与您的集群通信。建议在至少有两个节点且不充当控制平面主机的集群上运行本教程。如果您还没有集群，则可以使用 minikube 创建一个集群，或者可以使用以下 Kubernetes 游乐场之一
- Killercoda
- 使用 Kubernetes
要检查版本，请输入 kubectl version。

控制对 Kubernetes API 的访问

由于 Kubernetes 完全由 API 驱动，因此控制和限制谁可以访问集群以及允许他们执行哪些操作是第一道防线。

对所有 API 流量使用传输层安全 (TLS)

Kubernetes 预计集群中的所有 API 通信默认情况下都使用 TLS 加密，并且大多数安装方法都允许创建必要的证书并将其分发到集群组件。请注意，某些组件和安装方法可能会启用 HTTP 上的本地端口，管理员应熟悉每个组件的设置，以识别潜在的不安全流量。

API 身份验证

为 API 服务器选择一种身份验证机制，以匹配您在安装集群时常见的访问模式。例如，小型单用户集群可能希望使用简单的证书或静态 Bearer 令牌方法。较大的集群可能希望集成现有的 OIDC 或 LDAP 服务器，以允许将用户细分为组。

所有 API 客户端都必须经过身份验证，即使是基础架构的一部分（如节点、代理、调度器和卷插件）也是如此。这些客户端通常是服务帐户或使用 x509 客户端证书，它们会在集群启动时自动创建，或者在集群安装过程中设置。

有关更多信息，请参阅身份验证参考文档。

API 授权

经过身份验证后，每个 API 调用还需要通过授权检查。Kubernetes 附带了一个集成的基于角色的访问控制 (RBAC) 组件，该组件将传入的用户或组与一组捆绑到角色中的权限相匹配。这些权限将动词（获取、创建、删除）与资源（Pod、服务、节点）组合在一起，并且可以是命名空间范围或集群范围的。提供了一组开箱即用的角色，根据客户端可能想要执行的操作，提供合理默认的职责分离。建议您将节点和 RBAC 授权器结合使用，并与 NodeRestriction 准入插件结合使用。

与身份验证一样，简单和广泛的角色可能适用于较小的集群，但随着更多用户与集群交互，可能需要将团队分离到具有更受限角色的单独命名空间中。

使用授权时，重要的是要了解对一个对象的更新如何可能导致其他地方的操作。例如，用户可能无法直接创建 Pod，但允许他们创建代表他们创建 Pod 的部署，将允许他们间接创建这些 Pod。同样，从 API 中删除节点将导致调度到该节点的 Pod 被终止并在其他节点上重新创建。开箱即用的角色代表了灵活性和常见用例之间的平衡，但应仔细审查更受限的角色，以防止意外升级。如果开箱即用的角色不能满足您的需求，您可以根据您的用例创建特定角色。

有关更多信息，请参阅授权参考部分。

控制对 Kubelet 的访问

Kubelet 公开 HTTPS 端点，这些端点授予对节点和容器的强大控制权。默认情况下，Kubelet 允许对该 API 进行未经身份验证的访问。

生产集群应启用 Kubelet 身份验证和授权。

有关更多信息，请参阅Kubelet 身份验证/授权参考。

在运行时控制工作负载或用户的功能

Kubernetes 中的授权有意保持高级别，侧重于对资源的粗粒度操作。更强大的控制作为**策略**存在，用于按用例限制这些对象如何对集群、自身和其他资源起作用。

限制集群上的资源使用

资源配额限制授予命名空间的资源数量或容量。这最常用于限制命名空间可以分配的 CPU、内存或持久磁盘量，但也可以控制每个命名空间中存在多少个 Pod、服务或卷。

限制范围限制上述某些资源的最大或最小大小，以防止用户为常用预留资源（如内存）请求不合理的高值或低值，或者在未指定默认限制时提供默认限制。

控制容器运行时具有的权限

Pod 定义包含一个安全上下文，允许它请求访问以特定 Linux 用户身份在节点上运行（如 root）、访问以特权身份运行或访问主机网络，以及其他控制，否则将允许它在托管节点上不受限制地运行。

您可以配置 Pod 安全准入以在命名空间中强制使用特定的 Pod 安全标准，或检测违规行为。

通常，大多数应用程序工作负载需要对主机资源的有限访问权限，以便它们可以成功地以 root 进程（uid 0）身份运行，而无需访问主机信息。但是，考虑到与 root 用户关联的权限，您应该编写应用程序容器以非 root 用户身份运行。同样，希望阻止客户端应用程序逃离其容器的管理员应应用**基线**或**受限** Pod 安全标准。

防止容器加载不需要的内核模块

Linux 内核会在某些情况下（例如，连接硬件或挂载文件系统时）根据需要自动从磁盘加载内核模块。与 Kubernetes 特别相关的是，即使是非特权进程也可以导致加载某些与网络协议相关的内核模块，只需创建一个适当类型的套接字即可。这可能会允许攻击者利用管理员认为未使用的内核模块中的安全漏洞。

要防止自动加载特定模块，您可以从节点卸载它们，或添加规则来阻止它们。在大多数 Linux 发行版上，您可以通过创建一个文件（例如 /etc/modprobe.d/kubernetes-blacklist.conf）来实现，其内容如下

# DCCP is unlikely to be needed, has had multiple serious
# vulnerabilities, and is not well-maintained.
blacklist dccp

# SCTP is not used in most Kubernetes clusters, and has also had
# vulnerabilities in the past.
blacklist sctp

要更通用地阻止模块加载，您可以使用 Linux 安全模块（例如 SELinux）完全拒绝容器的 module_request 权限，从而防止内核在任何情况下为容器加载模块。（Pod 仍然可以使用手动加载的模块，或内核代表某些权限更高的进程加载的模块。）

限制网络访问

命名空间的网络策略允许应用程序作者限制其他命名空间中的哪些 Pod 可以访问其命名空间内的 Pod 和端口。许多受支持的 Kubernetes 网络提供程序现在都遵守网络策略。

配额和限制范围也可用于控制用户是否可以请求节点端口或负载均衡服务，在许多集群中，这可以控制这些用户的应用程序是否在集群外部可见。

可能还有其他保护措施可以控制每个插件或每个环境的网络规则，例如每个节点的防火墙、物理分离集群节点以防止串扰或高级网络策略。

限制云元数据 API 访问

云平台（AWS、Azure、GCE 等）通常会向实例本地公开元数据服务。默认情况下，这些 API 可由实例上运行的 Pod 访问，并且可以包含该节点的云凭据或配置数据（例如 kubelet 凭据）。这些凭据可用于在集群内或在同一帐户下的其他云服务中提升权限。

在云平台上运行 Kubernetes 时，请限制授予实例凭据的权限，使用网络策略限制 Pod 对元数据 API 的访问，并避免使用配置数据来传递密钥。

控制 Pod 可以访问哪些节点

默认情况下，对哪些节点可以运行 Pod 没有限制。Kubernetes 提供了丰富的策略集来控制 Pod 在节点上的放置，以及基于污点的 Pod 放置和驱逐，这些策略可供最终用户使用。对于许多集群来说，使用这些策略来分离工作负载可以成为作者采用或通过工具强制执行的惯例。

作为管理员，可以使用 beta 准入插件 PodNodeSelector 来强制命名空间内的 Pod 默认或要求使用特定的节点选择器，如果最终用户无法更改命名空间，这将极大地限制特定工作负载中所有 Pod 的放置。

保护集群组件免受攻击

本节介绍了一些保护集群免受攻击的常见模式。

限制对 etcd 的访问

对 API 的 etcd 后端的写访问权限等同于获得整个集群的 root 权限，而读访问权限可用于快速提升权限。管理员应始终使用来自 API 服务器到其 etcd 服务器的强凭据，例如通过 TLS 客户端证书进行的双向身份验证，并且通常建议将 etcd 服务器隔离在只有 API 服务器可以访问的防火墙后面。

注意

允许集群中的其他组件访问主 etcd 实例，并对整个键空间具有读或写访问权限，等同于授予集群管理员访问权限。强烈建议对非主组件使用单独的 etcd 实例，或使用 etcd ACL 来限制对键空间子集的读写访问。

启用审计日志记录

审计记录器是一个 beta 功能，它记录 API 执行的操作，以便在发生攻击时进行事后分析。建议启用审计日志记录并将审计文件存档到安全的服务器上。

限制对 alpha 或 beta 功能的访问

Alpha 和 beta Kubernetes 功能正在积极开发中，可能存在导致安全漏洞的限制或错误。始终评估 alpha 或 beta 功能可能提供的价值与对安全状况的潜在风险。如有疑问，请禁用您不使用的功能。

频繁轮换基础设施凭据

密钥或凭据的生命周期越短，攻击者就越难利用该凭据。为证书设置较短的生命周期并自动轮换它们。使用可以控制已颁发令牌可用时间的身份验证提供程序，并在可能的情况下使用较短的生命周期。如果您在外部集成中使用服务帐户令牌，请计划频繁轮换这些令牌。例如，一旦引导阶段完成，用于设置节点的引导令牌应被撤销或删除其授权。

在启用第三方集成之前对其进行审查

许多与 Kubernetes 的第三方集成可能会改变集群的安全配置文件。在启用集成时，始终先查看扩展请求的权限，然后再授予其访问权限。例如，许多安全集成可能会请求访问权限以查看集群上的所有密钥，这实际上是使该组件成为集群管理员。如有疑问，请尽可能将集成限制在单个命名空间内运行。

如果创建 Pod 的组件可以在 kube-system 命名空间等命名空间内创建 Pod，则它们也可能具有意想不到的强大功能，因为这些 Pod 可以访问服务帐户密钥或在这些服务帐户被授予对宽松的 PodSecurityPolicies 的访问权限时以提升的权限运行。

如果您使用 Pod 安全准入并允许任何组件在允许特权 Pod 的命名空间内创建 Pod，则这些 Pod 可能能够逃逸其容器并利用这种扩大的访问权限来提升其权限。

您不应该允许不受信任的组件在任何系统命名空间（名称以 kube- 开头的命名空间）或任何允许权限提升的命名空间中创建 Pod。

静态加密密钥

通常，etcd 数据库将包含可通过 Kubernetes API 访问的任何信息，并且可能会使攻击者能够深入了解集群的状态。始终使用经过良好审查的备份和加密解决方案来加密您的备份，并尽可能考虑使用全磁盘加密。

Kubernetes 支持对 Kubernetes API 中的信息进行可选的静态加密。这使您可以确保当 Kubernetes 存储对象的数据（例如，Secret 或 ConfigMap 对象）时，API 服务器会写入对象的加密表示形式。这种加密意味着即使是能够访问 etcd 备份数据的人也无法查看这些对象的内容。在 Kubernetes 1.30 中，您还可以加密自定义资源；作为 v1.26 版本的一部分，Kubernetes 中添加了对 CustomResourceDefinitions 中定义的扩展 API 的静态加密。

接收安全更新警报和报告漏洞

加入 kubernetes-announce 群组，接收有关安全公告的电子邮件。有关如何报告漏洞的更多信息，请参阅安全报告页面。

下一步

有关 Kubernetes 安全指南的其他信息，请参阅安全检查表。

上次修改时间：2023 年 4 月 30 日下午 10:20 PST：添加保护集群和安全检查表之间的链接 (19a3dc0f6f)