Openshift - SCC
Last updated
Last updated
L'autore originale di questa pagina è Guillaume
Nel contesto di OpenShift, SCC sta per Security Context Constraints. Le Security Context Constraints sono politiche che controllano le autorizzazioni per i pod in esecuzione sui cluster OpenShift. Definiscono i parametri di sicurezza con cui è consentito eseguire un pod, inclusi quali azioni può eseguire e a quali risorse può accedere.
Le SCC aiutano gli amministratori a far rispettare le politiche di sicurezza in tutto il cluster, garantendo che i pod vengano eseguiti con le autorizzazioni appropriate e rispettino gli standard di sicurezza dell'organizzazione. Questi vincoli possono specificare vari aspetti della sicurezza del pod, come:
Capacità di Linux: Limitare le capacità disponibili ai contenitori, come la capacità di eseguire azioni privilegiate.
Contesto SELinux: Imporre i contesti SELinux per i contenitori, che definiscono come i processi interagiscono con le risorse del sistema.
File system radice in sola lettura: Impedire ai contenitori di modificare file in determinate directory.
Directory e volumi dell'host consentiti: Specificare quali directory e volumi dell'host un pod può montare.
Esegui come UID/GID: Specificare gli ID utente e di gruppo con cui viene eseguito il processo del contenitore.
Politiche di rete: Controllare l'accesso di rete per i pod, ad esempio limitando il traffico in uscita.
Configurando le SCC, gli amministratori possono garantire che i pod vengano eseguiti con il livello appropriato di isolamento della sicurezza e controlli di accesso, riducendo il rischio di vulnerabilità di sicurezza o accessi non autorizzati all'interno del cluster.
Fondamentalmente, ogni volta che viene richiesta una distribuzione di pod, viene eseguito un processo di ammissione come segue:
Questo strato di sicurezza aggiuntivo vieta per impostazione predefinita la creazione di pod privilegiati, il montaggio del file system dell'host o l'impostazione di attributi che potrebbero portare a un'escalation dei privilegi.
Per elencare tutte le SCC con l'Openshift Client:
Tutti gli utenti hanno accesso al SCC predefinito "restricted" e "restricted-v2" che sono i SCC più rigorosi.
Lo SCC utilizzato per un pod è definito all'interno di un'annotazione:
Quando un utente ha accesso a più SCC, il sistema utilizzerà quello che si allinea con i valori del contesto di sicurezza. Altrimenti, verrà generato un errore di tipo forbidden.