Openshift - SCC
Last updated
Last updated
Oryginalnym autorem tej strony jest Guillaume
W kontekście OpenShift, SCC oznacza Security Context Constraints. Security Context Constraints to zasady kontrolujące uprawnienia dla podów uruchamianych na klastrach OpenShift. Określają one parametry bezpieczeństwa, na podstawie których pod może być uruchomiony, w tym jakie czynności może wykonywać i do jakich zasobów ma dostęp.
SCC pomagają administratorom egzekwować polityki bezpieczeństwa w całym klastrze, zapewniając, że pod'y są uruchamiane z odpowiednimi uprawnieniami i przestrzegają standardów bezpieczeństwa organizacyjnego. Te ograniczenia mogą określać różne aspekty bezpieczeństwa poda, takie jak:
Linux capabilities: Ograniczanie dostępnych możliwości kontenerów, takich jak zdolność do wykonywania uprzywilejowanych czynności.
Kontekst SELinux: Wymuszanie kontekstów SELinux dla kontenerów, które określają, w jaki sposób procesy współdziałają z zasobami w systemie.
System plików tylko do odczytu: Zapobieganie modyfikacji plików w określonych katalogach przez kontenery.
Dozwolone katalogi i woluminy hosta: Określanie, które katalogi i woluminy hosta może zamontować pod.
Uruchamianie jako UID/GID: Określanie identyfikatorów użytkownika i grupy, pod którymi działa proces kontenera.
Polityki sieciowe: Kontrolowanie dostępu do sieci dla podów, takie jak ograniczanie ruchu wychodzącego.
Konfigurując SCC, administratorzy mogą zapewnić, że pod'y są uruchamiane z odpowiednim poziomem izolacji bezpieczeństwa i kontroli dostępu, zmniejszając ryzyko podatności na ataki lub nieautoryzowany dostęp w klastrze.
W zasadzie za każdym razem, gdy żądane jest wdrożenie poda, wykonywany jest proces przyjęcia, jak pokazano poniżej:
Ta dodatkowa warstwa bezpieczeństwa domyślnie zabrania tworzenia uprzywilejowanych podów, montowania systemu plików hosta lub ustawiania jakichkolwiek atrybutów, które mogłyby prowadzić do eskalacji uprawnień.
Aby wyświetlić wszystkie SCC za pomocą klienta Openshift:
Wszyscy użytkownicy mają dostęp do domyślnych SCC "restricted" i "restricted-v2", które są najbardziej restrykcyjnymi SCCs.
SCC używane dla poda jest zdefiniowane wewnątrz adnotacji:
Gdy użytkownik ma dostęp do wielu SCC, system będzie korzystał z tego, który jest zgodny z wartościami kontekstu bezpieczeństwa. W przeciwnym razie spowoduje to błąd zakazany.