Kubernetes SecurityContext(s)
PodSecurityContext
Al especificar el contexto de seguridad de un Pod, puedes usar varios atributos. Desde un punto de vista de seguridad defensiva, deberías considerar:
Tener runASNonRoot como True
Configurar runAsUser
Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile
No dar acceso de grupo de privilegios a través de runAsGroup y supplementaryGroups
fsGroup integer | Un grupo suplementario especial que se aplica a todos los contenedores en un pod. Algunos tipos de volúmenes permiten que el Kubelet cambie la propiedad de ese volumen para que sea propiedad del pod: 1. El GID propietario será el FSGroup 2. El bit setgid está establecido (los nuevos archivos creados en el volumen serán propiedad de FSGroup) 3. Los bits de permiso se OR'd con rw-rw---- Si no se establece, el Kubelet no modificará la propiedad y los permisos de ningún volumen |
fsGroupChangePolicy string | Esto define el comportamiento de cambiar la propiedad y el permiso del volumen antes de ser expuesto dentro del Pod. |
runAsGroup integer | El GID para ejecutar el punto de entrada del proceso del contenedor. Usa el valor predeterminado de tiempo de ejecución si no se establece. |
runAsNonRoot boolean | Indica que el contenedor debe ejecutarse como un usuario no root. Si es verdadero, el Kubelet validará la imagen en tiempo de ejecución para asegurarse de que no se ejecute como UID 0 (root) y fallará al iniciar el contenedor si lo hace. |
runAsUser integer | El UID para ejecutar el punto de entrada del proceso del contenedor. Por defecto, se utiliza el usuario especificado en los metadatos de la imagen si no se especifica. |
seLinuxOptions SELinuxOptions Más información sobre seLinux | El contexto SELinux que se aplicará a todos los contenedores. Si no se especifica, el tiempo de ejecución del contenedor asignará un contexto SELinux aleatorio para cada contenedor. |
seccompProfile SeccompProfile Más información sobre Seccomp | Las opciones seccomp que usarán los contenedores en este pod. |
supplementalGroups integer array | Una lista de grupos aplicados al primer proceso ejecutado en cada contenedor, además del GID principal del contenedor. |
Los sysctls contienen una lista de sysctls con espacio de nombres utilizados para el pod. Los pods con sysctls no soportados (por el tiempo de ejecución del contenedor) podrían fallar al lanzarse. | |
La configuración específica de Windows aplicada a todos los contenedores. Si no se especifica, se utilizarán las opciones dentro del SecurityContext de un contenedor. |
SecurityContext
Este contexto se establece dentro de las definiciones de contenedores. Desde un punto de vista de seguridad defensiva, deberías considerar:
allowPrivilegeEscalation como False
No agregar capacidades sensibles (y eliminar las que no necesites)
privileged como False
Si es posible, establece readOnlyFilesystem como True
Establece runAsNonRoot como True y establece un runAsUser
Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile
No dar acceso de grupo de privilegios a través de runAsGroup.
Ten en cuenta que los atributos establecidos en tanto SecurityContext como PodSecurityContext, el valor especificado en SecurityContext tiene precedencia.
allowPrivilegeEscalation boolean | AllowPrivilegeEscalation controla si un proceso puede obtener más privilegios que su proceso padre. Este booleano controla directamente si la bandera no_new_privs se establecerá en el proceso del contenedor. AllowPrivilegeEscalation es verdadero siempre que el contenedor se ejecute como Privileged o tenga CAP_SYS_ADMIN |
capabilities Capabilities Más información sobre Capabilities | Las capacidades para agregar/quitar al ejecutar contenedores. Por defecto, se utiliza el conjunto predeterminado de capacidades. |
privileged boolean | Ejecutar el contenedor en modo privilegiado. Los procesos en contenedores privilegiados son esencialmente equivalentes a root en el host. Por defecto, es falso. |
procMount string | procMount denota el tipo de montaje proc a usar para los contenedores. El valor predeterminado es DefaultProcMount, que utiliza los valores predeterminados del tiempo de ejecución del contenedor para rutas de solo lectura y rutas enmascaradas. |
readOnlyRootFilesystem boolean | Si este contenedor tiene un sistema de archivos raíz de solo lectura. El valor predeterminado es falso. |
runAsGroup integer | El GID para ejecutar el punto de entrada del proceso del contenedor. Usa el valor predeterminado de tiempo de ejecución si no se establece. |
runAsNonRoot boolean | Indica que el contenedor debe ejecutarse como un usuario no root. Si es verdadero, el Kubelet validará la imagen en tiempo de ejecución para asegurarse de que no se ejecute como UID 0 (root) y fallará al iniciar el contenedor si lo hace. |
runAsUser integer | El UID para ejecutar el punto de entrada del proceso del contenedor. Por defecto, se utiliza el usuario especificado en los metadatos de la imagen si no se especifica. |
seLinuxOptions SELinuxOptions Más información sobre seLinux | El contexto SELinux que se aplicará al contenedor. Si no se especifica, el tiempo de ejecución del contenedor asignará un contexto SELinux aleatorio para cada contenedor. |
Las opciones seccomp que usará este contenedor. | |
La configuración específica de Windows aplicada a todos los contenedores. |
References
Last updated
