Openshift - SCC
Last updated
Last updated
L'auteur original de cette page est Guillaume
Dans le contexte d'OpenShift, SCC signifie Security Context Constraints. Les contraintes de contexte de sécurité sont des politiques qui contrôlent les autorisations des pods s'exécutant sur les clusters OpenShift. Elles définissent les paramètres de sécurité selon lesquels un pod est autorisé à s'exécuter, y compris les actions qu'il peut effectuer et les ressources auxquelles il peut accéder.
Les SCC aident les administrateurs à appliquer des politiques de sécurité à travers le cluster, garantissant que les pods s'exécutent avec les autorisations appropriées et respectent les normes de sécurité organisationnelles. Ces contraintes peuvent spécifier divers aspects de la sécurité des pods, tels que :
Capacités Linux : Limiter les capacités disponibles pour les conteneurs, comme la capacité d'effectuer des actions privilégiées.
Contexte SELinux : Imposer des contextes SELinux pour les conteneurs, qui définissent comment les processus interagissent avec les ressources du système.
Système de fichiers racine en lecture seule : Empêcher les conteneurs de modifier des fichiers dans certains répertoires.
Répertoires et volumes hôtes autorisés : Spécifier quels répertoires et volumes hôtes un pod peut monter.
Exécution en tant qu'UID/GID : Spécifier les IDs utilisateur et de groupe sous lesquels s'exécute le processus du conteneur.
Politiques réseau : Contrôler l'accès réseau des pods, comme restreindre le trafic de sortie.
En configurant les SCC, les administrateurs peuvent garantir que les pods s'exécutent avec le niveau approprié d'isolation de sécurité et de contrôles d'accès, réduisant ainsi le risque de vulnérabilités de sécurité ou d'accès non autorisé au sein du cluster.
Essentiellement, chaque fois qu'un déploiement de pod est demandé, un processus d'admission est exécuté comme suit :
Cette couche de sécurité supplémentaire interdit par défaut la création de pods privilégiés, le montage du système de fichiers hôte ou la définition de tout attribut pouvant entraîner une élévation de privilèges.
Pour lister tous les SCC avec le client Openshift :
Tous les utilisateurs ont accès au SCC par défaut "restricted" et "restricted-v2" qui sont les SCC les plus stricts.
Le SCC utilisé pour un pod est défini à l'intérieur d'une annotation :
Lorsqu'un utilisateur a accès à plusieurs SCC, le système utilisera celui qui correspond aux valeurs du contexte de sécurité. Sinon, une erreur interdite sera déclenchée.