Openshift - SCC
Last updated
Last updated
Originalni autor ove stranice je Guillaume
U kontekstu OpenShift-a, SCC predstavlja Security Context Constraints. Security Context Constraints su politike koje kontrolišu dozvole za podove koji se izvršavaju na OpenShift klasterima. Definišu sigurnosne parametre pod kojima je dozvoljeno da se pod izvršava, uključujući koje radnje može izvršiti i na koje resurse može pristupiti.
SCC-ovi pomažu administratorima da sprovedu sigurnosne politike širom klastera, osiguravajući da podovi rade sa odgovarajućim dozvolama i pridržavajući se organizacionih sigurnosnih standarda. Ove restrikcije mogu specificirati različite aspekte sigurnosti poda, kao što su:
Linux sposobnosti: Ograničavanje sposobnosti dostupnih kontejnerima, poput mogućnosti izvršavanja privilegovanih radnji.
SELinux kontekst: Sprovođenje SELinux konteksta za kontejnere, koji definišu kako procesi interaguju sa resursima na sistemu.
Root fajl sistem samo za čitanje: Onemogućavanje kontejnerima da menjaju fajlove u određenim direktorijumima.
Dozvoljeni host direktorijumi i volumeni: Specificiranje koji host direktorijumi i volumeni mogu biti montirani od strane poda.
Pokretanje kao UID/GID: Specificiranje korisničkih i grupnih ID-ova pod kojima se izvršava proces kontejnera.
Sigurnosne politike mreže: Kontrolisanje pristupa mreži za podove, poput ograničavanja izlaznog saobraćaja.
Konfigurišući SCC-ove, administratori mogu osigurati da podovi rade sa odgovarajućim nivoom sigurnosne izolacije i kontrola pristupa, smanjujući rizik od sigurnosnih ranjivosti ili neovlašćenog pristupa unutar klastera.
U osnovi, svaki put kada se zatraži implementacija poda, izvršava se proces prijema kao što sledi:
Ovaj dodatni sigurnosni sloj podrazumevano zabranjuje kreiranje privilegovanih podova, montiranje fajl sistema domaćina ili postavljanje bilo kakvih atributa koji bi mogli dovesti do eskalacije privilegija.
Za prikaz svih SCC-ova sa Openshift klijentom:
Svi korisnici imaju pristup podrazumevanim SCC "restricted" i "restricted-v2" koji su najstroži SCC-ovi.
SCC koji se koristi za jedan pod je definisan unutar annotacije:
Kada korisnik ima pristup više SCC-ova, sistem će koristiti onaj koji se poklapa sa vrednostima konteksta bezbednosti. U suprotnom, doći će do greške zabranjenog pristupa.