Openshift - SCC
Last updated
Last updated
Ο αρχικός συγγραφέας αυτής της σελίδας είναι Guillaume
Στο πλαίσιο του OpenShift, το SCC σημαίνει Security Context Constraints. Οι περιορισμοί περιβάλλοντος ασφαλείας είναι πολιτικές που ελέγχουν τις άδειες για τα pods που εκτελούνται σε συστάδες OpenShift. Ορίζουν τις παραμέτρους ασφαλείας με τις οποίες ένα pod επιτρέπεται να εκτελείται, συμπεριλαμβανομένων των ενεργειών που μπορεί να εκτελέσει και των πόρων στους οποίους μπορεί να έχει πρόσβαση.
Οι SCCs βοηθούν τους διαχειριστές να επιβάλλουν πολιτικές ασφαλείας σε ολόκληρο το σύμπλεγμα, εξασφαλίζοντας ότι τα pods εκτελούνται με κατάλληλες άδειες και συμμορφώνονται με τα πρότυπα ασφαλείας του οργανισμού. Αυτοί οι περιορισμοί μπορούν να καθορίσουν διάφορες πτυχές της ασφάλειας του pod, όπως:
Δυνατότητες Linux: Περιορισμός των δυνατοτήτων που είναι διαθέσιμες στα containers, όπως η δυνατότητα εκτέλεσης προνομιούχων ενεργειών.
Πλαίσιο SELinux: Επιβολή πλαισίων SELinux για τα containers, τα οποία καθορίζουν πώς τα διεργασίες αλληλεπιδρούν με τους πόρους στο σύστημα.
Ανάγνωση-μόνο ριζικού συστήματος αρχείων: Αποτροπή των containers από τον τροποποίηση αρχείων σε συγκεκριμένους καταλόγους.
Επιτρεπόμενοι κατάλογοι και όγκοι του κεντρικού υπολογιστή: Καθορισμός ποιους καταλόγους και όγκους του κεντρικού υπολογιστή μπορεί να προσαρτήσει ένα pod.
Εκτέλεση ως UID/GID: Καθορισμός των αναγνωριστικών χρήστη και ομάδας με τα οποία εκτελείται η διεργασία του container.
Πολιτικές δικτύου: Έλεγχος της πρόσβασης στο δίκτυο για τα pods, όπως η περιορισμένη κίνηση εξόδου.
Με τη διαμόρφωση των SCCs, οι διαχειριστές μπορούν να εξασφαλίσουν ότι τα pods εκτελούνται με τον κατάλληλο βαθμό απομόνωσης ασφαλείας και ελέγχων πρόσβασης, μειώνοντας τον κίνδυνο ασφαλειακών ευπαθειών ή μη εξουσιοδοτημένης πρόσβασης εντός του συμπλέγματος.
Βασικά, κάθε φορά που ζητείται η αναπτυξη ενός pod, εκτελείται μια διαδικασία πρόσβασης όπως παρακάτω:
Αυτό το επιπλέον επίπεδο ασφαλείας απαγορεύει από προεπιλογή τη δημιουργία προνομιούχων pods, την προσάρτηση του αρχείου συστήματος του κεντρικού υπολογιστή ή την ρύθμιση οποιωνδήποτε χαρακτηριστικών που θα μπορούσαν να οδηγήσουν σε ανόδο προνομίων.
Για να εμφανίσετε όλα τα SCC με τον Πελάτη Openshift:
Όλοι οι χρήστες έχουν πρόσβαση στα προεπιλεγμένα SCC "restricted" και "restricted-v2" τα οποία είναι οι αυστηρότερες SCCs.
Το SCC που χρησιμοποιείται για ένα pod ορίζεται μέσα σε ένα σχόλιο:
Όταν ένας χρήστης έχει πρόσβαση σε πολλαπλά SCCs, το σύστημα θα χρησιμοποιήσει αυτό που συμφωνεί με τις τιμές του context ασφαλείας. Διαφορετικά, θα προκαλέσει ένα σφάλμα απαγορευμένης πρόσβασης.