Openshift - SCC
Last updated
Last updated
Bu sayfanın orijinal yazarı Guillaume
OpenShift bağlamında SCC, Security Context Constraints'in kısaltmasıdır. Security Context Constraints, OpenShift kümelerinde çalışan pod'ların izinlerini kontrol eden politikaları ifade eder. Bir pod'ın hangi eylemleri gerçekleştirebileceği ve hangi kaynaklara erişebileceği de dahil olmak üzere, bir pod'un çalışmasına izin verilen güvenlik parametrelerini tanımlar.
SCC'ler, yöneticilerin kümeler boyunca güvenlik politikalarını uygulamalarına yardımcı olur, pod'ların uygun izinlerle çalıştığından ve kurumsal güvenlik standartlarına uyduğundan emin olur. Bu kısıtlamalar pod güvenliğinin çeşitli yönlerini belirleyebilir, örneğin:
Linux yetenekleri: Konteynerlara sağlanan yetenekleri sınırlamak, örneğin ayrıcalıklı eylemleri gerçekleştirme yeteneği.
SELinux bağlamı: Konteynerlar için SELinux bağlamlarını zorlamak, işlemlerin sistemdeki kaynaklarla nasıl etkileşimde bulunacağını tanımlar.
Salt okunur kök dosya sistemi: Konteynerların belirli dizinlerdeki dosyaları değiştirmesini engellemek.
İzin verilen ana dizinler ve birimler: Bir pod'un bağlanabileceği ana dizinler ve birimleri belirtmek.
UID/GID olarak çalıştır: Konteyner işlemi tarafından çalıştırılan kullanıcı ve grup kimliklerini belirtmek.
Ağ politikaları: Pod'lar için ağ erişimini kontrol etmek, örneğin çıkış trafiğini kısıtlamak.
SCC'leri yapılandırarak, yöneticiler pod'ların uygun düzeyde güvenlik izolasyonu ve erişim kontrolleri ile çalıştığından emin olabilir, böylece kümeler içinde güvenlik açıklarının veya izinsiz erişimin riskini azaltabilir.
Temelde, bir pod dağıtımı istendiğinde her zaman aşağıdaki gibi bir kabul süreci yürütülür:
Bu varsayılan olarak ek güvenlik katmanı, ayrıcalıklı pod'ların oluşturulmasını, ana dosya sisteminin bağlanmasını veya ayrıcalık yükselmesine yol açabilecek herhangi bir özelliğin ayarlanmasını yasaklar.
Pod Escape PrivilegesTüm SCC'leri Openshift Client ile listelemek için:
Tüm kullanıcılar, en katı SCC'ler olan "restricted" ve "restricted-v2" varsayılan SCC'lere erişime sahiptir.
Bir pod için kullanılan SCC, bir açıklama içinde tanımlanmıştır:
Kullanıcı birden fazla SCC'ye erişime sahip olduğunda, sistem güvenlik bağlamı değerleriyle uyumlu olanı kullanacaktır. Aksi takdirde, yasaklanmış bir hata tetiklenecektir.