Understand basic security ways of the original Kubernetes

[oomichi]

OpenShift (OKD) でのセキュリティ担保方法を求められたが、そもそも基の Kubernetes でのセキュリティ担保の方法を把握できていないので、それをまずは学ぶ。

• [ ] セキュリティ手段の一覧作成
• [ ] セキュリティ手段 XXX の概要、詳細、デモ
• [ ] セキュリティ手段 XXX の概要、詳細、デモ

[oomichi]

セキュリティ手段の一覧作成

• セキュリティ全般: https://kubernetes.io/docs/concepts/security/overview/
• Pod Security Policies: https://kubernetes.io/docs/concepts/policy/pod-security-policy/
• APIアクセス制御の一般: https://kubernetes.io/docs/reference/access-authn-authz/controlling-access/
• APIアクセス制御: Service Account https://kubernetes.io/docs/reference/access-authn-authz/service-accounts-admin/
• APIアクセス制御: RBAC https://kubernetes.io/docs/reference/access-authn-authz/rbac/

[oomichi]

Overview of Cloud Native Security

ref: https://kubernetes.io/docs/concepts/security/overview/

Kubernetes セキュリティとは沢山の相互関係性を持つ計り知れないトピックである。 今日の時代において、Open Source は多くのシステムに統合されており、Web アプリケーションが運用されることを助けている。 本書はCloud Native Security関連の一般的なコンセプトを定義している。

Cloud Native Security における4つのC

上記の図の通り、Code、Container、Cluster、Cloudという4つのCが存在し、それぞれの層でセキュリティを担保する必要がある。 Codeの層だけでセキュリティを担保することは不可能だ。 しかしながら、それぞれの領域を適切に扱えば、あなたのCodeは既に強い基盤の上にあることになる。 各領域における心配事については後述する。

Cloud

多くの手段において、Cloud（もしくは企業のDC、物理サーバ）はKubernetes クラスタの信頼されたコンピューティング基盤である。もしそれらのコンポーネントが脆弱であるならば、その上に載るコンポーネントのセキュリティを担保する方法は無い。 各クラウドプロバイダはセキュリティ推奨を持っており、ワークロードを安全に実行できる環境を顧客に提供している。クラウドセキュリティについては本書の対象外である、なぜならばそれはクラウドプロバイダによってことなるからだ。 一般的なクラウドプロバイダのセキュリティ関連ドキュメントへのリンクを下記に載せる。 https://kubernetes.io/docs/concepts/security/overview/#cloud-provider-security-table

一般的なCloudのガイダンス

• Network access to API server: 理想的には、インターネット上に公開されているKubernetes Masterへの全てのアクセスは許可されていない状況にあるべきだ。そしてネットワークアクセスは IP アドレスのセットで制限されるべきだ。
• Network access to Nodes: Nodeについては特定のポートにおいて Master からのみアクセスを許可するべきだ。できるならば、Nodeはインターネット上に公開すべきではない。
• Kubernetes access to Cloud Provider API: 各クラウドプロバイダは異なるセットのパーミッションをKubernetes Master と Nodes に Grant する必要がある。この推奨はより一般的になるだろう。各リソースに対して必要最小限の権限を Grant するという原則だ。たとえば AWS における Kops はココで確認できる。
• Access to etcd: Etcd へのアクセスは Master のみに制限するべきだ。
• etcd Encryption: Kubernetesクラスタ全体の State を持つため、そのディスクは暗号化されるべきだ。

Cluster