Openshift - SCC
O autor original desta página é Guillaume
Definição
No contexto do OpenShift, SCC significa Security Context Constraints. As Restrições de Contexto de Segurança são políticas que controlam as permissões para pods em execução nos clusters do OpenShift. Elas definem os parâmetros de segurança sob os quais um pod pode ser executado, incluindo quais ações ele pode realizar e a quais recursos pode acessar.
As SCCs ajudam os administradores a impor políticas de segurança em todo o cluster, garantindo que os pods estejam em execução com permissões apropriadas e em conformidade com os padrões de segurança organizacionais. Essas restrições podem especificar vários aspectos da segurança do pod, como:
Capacidades do Linux: Limitando as capacidades disponíveis para os contêineres, como a capacidade de realizar ações privilegiadas.
Contexto SELinux: Aplicando contextos SELinux para contêineres, que definem como os processos interagem com os recursos no sistema.
Sistema de arquivos raiz somente leitura: Impedindo que os contêineres modifiquem arquivos em determinados diretórios.
Diretórios e volumes do host permitidos: Especificando quais diretórios e volumes do host um pod pode montar.
Executar como UID/GID: Especificando os IDs de usuário e grupo nos quais o processo do contêiner é executado.
Políticas de rede: Controlando o acesso à rede para os pods, como restringir o tráfego de saída.
Ao configurar SCCs, os administradores podem garantir que os pods estejam em execução com o nível apropriado de isolamento de segurança e controles de acesso, reduzindo o risco de vulnerabilidades de segurança ou acesso não autorizado dentro do cluster.
Basicamente, toda vez que é solicitado um deployment de pod, um processo de admissão é executado da seguinte forma:
Esta camada de segurança adicional, por padrão, proíbe a criação de pods privilegiados, montagem do sistema de arquivos do host ou configuração de quaisquer atributos que possam levar à escalada de privilégios.
Listar SCC
Para listar todas as SCC com o Cliente Openshift:
Todos os usuários têm acesso ao SCC padrão "restricted" e "restricted-v2", que são os SCCs mais restritos.
Usar SCC
O SCC usado por um pod é definido dentro de uma anotação:
Quando um usuário tem acesso a vários SCCs, o sistema utilizará aquele que está alinhado com os valores de contexto de segurança. Caso contrário, irá disparar um erro de proibido.
Bypass de SCC
Referências
Last updated