Openshift - SCC

Die oorspronklike skrywer van hierdie bladsy is Guillaume

Definisie

In die konteks van OpenShift staan SCC vir Security Context Constraints. Security Context Constraints is beleide wat toestemmings vir pods wat op OpenShift-klusters loop, beheer. Hulle definieer die sekuriteitsparameters waarvolgens 'n pod toegelaat word om te loop, insluitend watter aksies dit kan uitvoer en watter bronne dit kan benader.

SCCs help administrateurs om sekuriteitsbeleide regoor die kluster af te dwing, om te verseker dat pods met toepaslike toestemmings loop en om organisatoriese sekuriteitsstandaarde na te kom. Hierdie beperkings kan verskeie aspekte van pod-sekuriteit spesifiseer, soos:

1. Linux-vermoëns: Beperking van die vermoëns wat beskikbaar is vir houers, soos die vermoë om bevoorregte aksies uit te voer.

2. SELinux-konteks: Afdwinging van SELinux-kontekste vir houers, wat bepaal hoe prosesse met bronne op die stelsel interaksie hê.

3. Lees-slegs-wortel-lêersisteem: Voorkoming van houers om lêers in sekere gids te wysig.

4. Toegelate gasgids en volumes: Spesifiseer watter gasgids en volumes 'n pod kan koppel.

5. Hardloop as UID/GID: Spesifiseer die gebruikers- en groep-ID's waarvolgens die houerproses loop.

6. Netwerkbeleide: Beheer van netwerktoegang vir pods, soos die beperking van uitgaande verkeer.

Deur SCCs te konfigureer, kan administrateurs verseker dat pods met die toepaslike vlak van sekuriteitsisolering en toegangsbeheer loop, wat die risiko van sekuriteitskwessies of ongemagtigde toegang binne die kluster verminder.

Basies, elke keer as 'n pod-implementering aangevra word, word 'n toelatingsproses uitgevoer soos volg:

Hierdie bykomende sekuriteitslaag verbied standaard die skepping van bevoorregte pods, die koppeling van die gaslêersisteem, of die instelling van enige eienskappe wat tot bevoorregte eskalasie kan lei.

Lys SCC

Om al die SCC met die Openshift-kliënt te lys:

$ oc get scc #List all the SCCs

$ oc auth can-i --list | grep securitycontextconstraints #Which scc user can use

$ oc describe scc $SCC #Check SCC definitions

Alle gebruikers het toegang tot die standaard SCC "restricted" en "restricted-v2" wat die strengste SCCs is.

Gebruik SCC

Die SCC wat vir 'n pod gebruik word, word binne 'n annotasie gedefinieer:

$ oc get pod MYPOD -o yaml | grep scc
openshift.io/scc: privileged

Wanneer 'n gebruiker toegang het tot verskeie SCC's, sal die stelsel die een gebruik wat ooreenstem met die veiligheidskonteks waardes. Andersins sal dit 'n verbode fout veroorsaak.

$ oc apply -f evilpod.yaml #Deploy a privileged pod
Error from server (Forbidden): error when creating "evilpod.yaml": pods "evilpod" is forbidden: unable to validate against any security context constrain

SCC Oorskryding

Verwysings

• https://www.redhat.com/en/blog/managing-sccs-in-openshift