本文來自[Rancher Labs](https://mp.weixin.qq.com/s/K3aCkzSSuprF-bJElUBG8Q "Rancher Labs") ## 什麼是Pod安全策略？ Kubernetes Pod安全策略（PSP）是Kubernetes安全版塊中極為重要的元件。Pod安全策略是叢集級別的資源，用於控制Pod安全相關選項，並且還是一種強化Kubernetes工作負載安全性的機制。Kubernetes平臺團隊或叢集運維人員可以利用它來控制pod的建立以及限制特定的使用者、組或應用程式可以使用的功能。 舉個簡單的例子，使用PSP你可以： - 防止特權Pod啟動並控制特權升級。 - 限制Pod可以訪問的主機名稱空間、網路和檔案系統 - 限制可以執行pod的使用者/組。 - 限制Pod可以訪問的Volume - 限制其他引數，如執行時配置檔案或只讀根檔案系統 在本文中，我們將向你展示在Rancher中如何通過啟用一個簡單的Pod安全策略來強化你的Kubernetes安全。 ## Pod安全策略真的可以增強K8S的安全性嗎？ 是的，Pod安全策略確實可以增強Kubernetes的安全性。它提供了Kubernetes原生控制機制，可以防止威脅而不影響效能，這與agent必須攔截主機上的每個動作有所區別。 如果你尚未在叢集中啟用PSP（或執行訪問控制之類的等效方法），則Kubernetes使用者可能會生成特權叢集。這將會被惡意利用，例如提升特權進而突破容器隔離並訪問其他Pod/服務。 如果沒有限制Pod spec特權的機制，攻擊者可以通過docker命令執行任何操作，例如，執行特權容器、使用節點資源等。 想要快速驗證以上說法，你可以執行以下指令碼（千萬不要在生產叢集上操作）： ``` ❯ ./kubectl-root-in-host.sh bash-4.4# whoami root bash-4.4# hostname sudo--alvaro-rancher-rancheragent-0-all ``` 你可以獲得對Kubernetes節點的即時root訪問許可權。是不是有點後怕呢？ 通過遵循最小特權的概念，你可以安全地在叢集中實現PSP，並確保在Kubernetes Pod或工作負載中沒有不需要的許可權。除了Kubernetes安全的核心理念外，最小特權原則也是一種通用的安全最佳實踐，同時還是諸如PCI、SOC2或HIPAA等合規性標準的核心要求。 總結一下： - PSP將為Pod授予的安全功能提供預設安全約束，該pod可以是叢集上任何使用者建立的 - PSP還能通過滿足特定合規性基準的要求幫助你驗證合規性 最小特權是一個概念，也是一個實踐，可以將使用者、賬號和計算過程的訪問許可權限制為僅執行日常合法活動所需要的資源。 ## 在你的叢集中啟用Pod安全策略 在Kubernetes中Pod安全策略可以實現為Admission Controller。要在你的叢集中啟用PSP，確保`PodSecurityPolicy`在`enable-admission-plugins`列表內，作為引數傳遞給你的Kubernetes API配置的引數： ``` --enable-admission-plugins=...,PodSecurityPolicy ``` 提供託管Kubernetes叢集（你無法直接訪問API配置）的雲提供商通常會提供高階設定，使用者可以在整個叢集範圍內啟用PSP。在其他情況下，你可能需要編輯/etc/kubernetes/manifests/kube-apiserver.yaml檔案，並將其新增到相應的命令引數中。 在Rancher中，你可以在UI上編輯叢集來輕鬆啟用PSP：  你可以選擇預設應用哪個Pod安全策略。在本例中，我們選擇了restricted（受限）。 使用一個Admission controller來啟用PSP的好處在於它提供了一個即時預防機制，甚至可以在排程之前停止部署過度特權的Pod。缺點就是你啟用一個PSP之後，每個pod都需要經過PSP的批准，使其部署和過渡更加困難。 ## Rancher中啟用基本Pod安全策略demo 在這一部分中，我們將逐步演示如何通過Rancher dashboard在叢集中啟用Pod安全策略，並在預設情況下使用受限策略，並瞭解如何防止建立特權Pod。 PSP物件本身是將要應用於pod specs的要求和約束的列表。PSP YAML如下所示： ``` apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: example spec: allowedCapabilities: - NET_ADMIN - IPC_LOCK allowedHostPaths: - pathPrefix: /dev - pathPrefix: /run - pathPrefix: / fsGroup: rule: RunAsAny hostNetwork: true seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny privileged: true runAsUser: rule: RunAsAny volumes: - hostPath - secret ``` 以上PSP有很多允許許可權，例如： - 它允許pod可以與其他Linux功能（如NET_ADMIN和IPC_LOCK）一起執行 - 它允許從主機安裝敏感路徑 - Pod可以作為特權執行 瀏覽Kubernetes官方文件可以獲取可用的PSP控制元件及其預設值的完整列表： https://kubernetes.io/docs/concepts/policy/pod-security-policy/ 讓我們來看一個示例，說明如何防止特權Pod在叢集中執行。 在叢集中啟用PSP之後，請嘗試部署類似的pod： *deploy-not-privileged.yaml* ``` apiVersion: apps/v1 kind: Deployment metadata: labels: app: not-privileged-deploy name: not-privileged-deploy spec: replicas: 1 selector: matchLabels: app: not-privileged-deploy template: metadata: labels: app: not-privileged-deploy spec: containers: - image: alpine name: alpine stdin: true tty: true securityContext: runAsUser: 1000 runAsGroup: 1000 ``` 它可以立即使用，因為我們告訴Rancher啟用具有受限安全策略的PSP，該策略允許沒有特權的pod正常執行，像上面那樣。 檢查預設PSP中的內容，如下所示： `$ kubectl get psp restricted-psp -o yaml` ``` apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: annotations: serviceaccount.cluster.cattle.io/pod-security: restricted serviceaccount.cluster.cattle.io/pod-security-version: "1960" creationTimestamp: "2020-03-04T19:56:10Z" labels: cattle.io/creator: norman name: restricted-psp resourceVersion: "2686" selfLink: /apis/policy/v1beta1/podsecuritypolicies/restricted-psp uid: 40957380-1d44-4e43-9333-91610e3fc079 spec: allowPrivilegeEscalation: false fsGroup: ranges: - max: 65535 min: 1 rule: MustRunAs requiredDropCapabilities: - ALL runAsUser: rule: RunAsAny seLinux: rule: RunAsAny supplementalGroups: ranges: - max: 65535 min: 1 rule: MustRunAs volumes: - configMap - emptyDir - projected - secret - downwardAPI - persistentVolumeClaim ``` 或者在Rancher的全域性視角檢查。選擇【安全>Pod安全策略】並點選*受限*的選項。  該PSP應該允許任何pod，只要它以標準使用者（不是root）身份執行，並且不需要任何特權和特殊功能。 有關PSP和RBAC的其他內容，我們將在以後進行探討。為了簡單起見，加上Rancher已經為你設定了必需的繫結，因此我們現在略過這一部分。讓我們嘗試部署一個特權pod，例如來自`kubectl-root-in-host.sh`指令碼的那個pod： *deploy-privileged.yaml* ``` apiVersion: apps/v1 kind: Deployment metadata: labels: app: privileged-deploy name: privileged-deploy spec: replicas: 1 selector: matchLabels: app: privileged-deploy template: metadata: labels: app: privileged-deploy spec: containers: - image: alpine name: alpine stdin: true tty: true securityContext: privileged: true hostPID: true hostNetwork: true ``` 該pod將不會進入叢集 ``` Warning FailedCreate 2s (x12 over 13s) replicaset-controller Error creating: pods "privileged-deploy-7569b9969d-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used spec.securityContext.hostPID: Invalid value: true: Host PID is not allowed to be used spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed] ``` PodSecurityPolicy admission controller將不允許建立這個pod，因為現有的PSP不允許使用“hostPID”、“hostNetwork” 或 “privileged”。 ## 總結 在本文中我們通過在Rancher環境中啟用一個簡單的Pod安全策略來增強你的Kubernetes安全。通過使用預設的受限PSP，我們確保pod只能在不需要擴充套件安全許可權的情況下執行。最後，我們嘗試部署一個擁有眾多許可權的pod，並且失敗了，因為現有的PSP阻止了它被排程到叢集上。 Rancher Kubernetes平臺擁有著超過一億次下載量，我們深知安全問題對於使用者而言的重要性。後期我們也將會推出更多與安全相關的內容，幫助Rancher使用者安全、穩妥地落地Kuber