Openshift - SCC

Originalni autor ove stranice je Guillaume

Definicija

U kontekstu OpenShift-a, SCC predstavlja Security Context Constraints. Security Context Constraints su politike koje kontrolišu dozvole za podove koji se izvršavaju na OpenShift klasterima. Definišu sigurnosne parametre pod kojima je dozvoljeno da se pod izvršava, uključujući koje radnje može izvršiti i na koje resurse može pristupiti.

SCC-ovi pomažu administratorima da sprovedu sigurnosne politike širom klastera, osiguravajući da podovi rade sa odgovarajućim dozvolama i pridržavajući se organizacionih sigurnosnih standarda. Ove restrikcije mogu specificirati različite aspekte sigurnosti poda, kao što su:

1. Linux sposobnosti: Ograničavanje sposobnosti dostupnih kontejnerima, poput mogućnosti izvršavanja privilegovanih radnji.

2. SELinux kontekst: Sprovođenje SELinux konteksta za kontejnere, koji definišu kako procesi interaguju sa resursima na sistemu.

3. Root fajl sistem samo za čitanje: Onemogućavanje kontejnerima da menjaju fajlove u određenim direktorijumima.

4. Dozvoljeni host direktorijumi i volumeni: Specificiranje koji host direktorijumi i volumeni mogu biti montirani od strane poda.

5. Pokretanje kao UID/GID: Specificiranje korisničkih i grupnih ID-ova pod kojima se izvršava proces kontejnera.

6. Sigurnosne politike mreže: Kontrolisanje pristupa mreži za podove, poput ograničavanja izlaznog saobraćaja.

Konfigurišući SCC-ove, administratori mogu osigurati da podovi rade sa odgovarajućim nivoom sigurnosne izolacije i kontrola pristupa, smanjujući rizik od sigurnosnih ranjivosti ili neovlašćenog pristupa unutar klastera.

U osnovi, svaki put kada se zatraži implementacija poda, izvršava se proces prijema kao što sledi:

Ovaj dodatni sigurnosni sloj podrazumevano zabranjuje kreiranje privilegovanih podova, montiranje fajl sistema domaćina ili postavljanje bilo kakvih atributa koji bi mogli dovesti do eskalacije privilegija.

Lista SCC

Za prikaz svih SCC-ova sa Openshift klijentom:

$ oc get scc #List all the SCCs

$ oc auth can-i --list | grep securitycontextconstraints #Which scc user can use

$ oc describe scc $SCC #Check SCC definitions

Svi korisnici imaju pristup podrazumevanim SCC "restricted" i "restricted-v2" koji su najstroži SCC-ovi.

Koristi SCC

SCC koji se koristi za jedan pod je definisan unutar annotacije:

$ oc get pod MYPOD -o yaml | grep scc
openshift.io/scc: privileged

Kada korisnik ima pristup više SCC-ova, sistem će koristiti onaj koji se poklapa sa vrednostima konteksta bezbednosti. U suprotnom, doći će do greške zabranjenog pristupa.

$ oc apply -f evilpod.yaml #Deploy a privileged pod
Error from server (Forbidden): error when creating "evilpod.yaml": pods "evilpod" is forbidden: unable to validate against any security context constrain

Bypassovanje SCC

Reference

• https://www.redhat.com/en/blog/managing-sccs-in-openshift