Applicare criteri di sicurezza personalizzati a livello di pod utilizzando Gatekeeper

Questa pagina mostra come utilizzare il controller di ammissione Gatekeeper per applicare controlli di sicurezza a livello di pod ai cluster Google Kubernetes Engine (GKE). In questa pagina scoprirai come utilizzare Gatekeeper per applicare vincoli che ti consentono di applicare criteri di sicurezza per soddisfare i requisiti di sicurezza della tua organizzazione.

Questa pagina è rivolta agli esperti di sicurezza che vogliono applicare controlli di sicurezza ai propri cluster GKE. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli utente e attività comuni di GKE Enterprise.

Prima di leggere questa pagina, assicurati di avere familiarità con i seguenti concetti:

Panoramica di Gatekeeper

Gatekeeper è un controller di ammissione che convalida le richieste di creazione e aggiornamento di pod nei cluster Kubernetes utilizzando Open Policy Agent (OPA).

L'utilizzo di Gatekeeper consente agli amministratori di definire policy con un vincolo, ovvero un insieme di condizioni che consentono o negano i comportamenti di deployment in Kubernetes. Puoi quindi applicare questi criteri a un cluster utilizzando un ConstraintTemplate. Questo documento fornisce esempi per limitare le funzionalità di sicurezza dei carichi di lavoro per garantire l'applicazione, il test e il controllo delle norme di sicurezza utilizzando Gatekeeper.

Il Gatekeeper può anche:

  • Implementazione delle policy:applica la policy in modo graduale e mirato per limitare il rischio di interrompere i workload.
  • Modifiche ai criteri di prova: fornisci meccanismi per testare l'impatto e l'intervallo dei criteri prima dell'applicazione.
  • Controlla le norme esistenti: assicurati che i controlli di sicurezza vengano applicati ai carichi di lavoro nuovi ed esistenti (controlli di audit).

Concetti chiave di Key Gatekeeper

Gatekeeper introduce due concetti per fornire agli amministratori un mezzo potente e flessibile per controllare il proprio cluster: vincoli e modelli di vincoli, entrambi concetti ereditati dal framework di vincoli di Open Policy Agent.

I vincoli sono la rappresentazione della tua policy di sicurezza: definiscono i requisiti e l'ambito di applicazione. I modelli di vincolo sono istruzioni riutilizzabili (scritte in Rego) che applicano la logica per valutare campi specifici negli oggetti Kubernetes, in base ai requisiti definiti nei vincoli.

Ad esempio, potresti avere un vincolo che dichiara i profili seccomp consentiti che possono essere applicati ai pod in uno spazio dei nomi specifico e un modello di vincolo comparabile che fornisce la logica per estrarre questi valori e gestire l'applicazione.

Il seguente modello di vincolo, dal repository Gatekeeper, verifica l'esistenza di securityContext.privileged in una specifica del pod:

apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
  name: k8spspprivilegedcontainer
spec:
  crd:
    spec:
      names:
        kind: K8sPSPPrivilegedContainer
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package k8spspprivileged

        violation[{"msg": msg, "details": {}}] {
            c := input_containers[_]
            c.securityContext.privileged
            msg := sprintf("Privileged container is not allowed: %v, securityContext: %v", [c.name, c.securityContext])
        }
        input_containers[c] {
            c := input.review.object.spec.containers[_]
        }
        input_containers[c] {
            c := input.review.object.spec.initContainers[_]
        }

Per estendere l'esempio precedente di modello di vincolo, il seguente vincolo definisce l'ambito (kinds) per l'applicazione specifica di questo modello di vincolo in modalità dryrun:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPPrivilegedContainer
metadata:
  name: psp-privileged-container
spec:
  enforcementAction: dryrun
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]

Con Gatekeeper, puoi creare vincoli e modelli di vincoli personalizzati per soddisfare le tue esigenze specifiche. Puoi anche utilizzare un set standard di vincoli e modelli di vincoli nel repository Gatekeeper che sono stati definiti per consentire una rapida adozione e l'applicazione della sicurezza. Ogni vincolo è accompagnato anche da configurazioni di pod di esempio.

Google Cloud fornisce una versione gestita e supportata ufficialmente di Gatekeeper open source denominata Policy Controller. Google non supporta ufficialmente il progetto open source Gatekeeper.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:

  • Attiva l'API Google Kubernetes Engine.
    • Attiva l'API Google Kubernetes Engine
  • Se vuoi utilizzare Google Cloud CLI per questa attività, installala e poi inizializzala. Se hai già installato gcloud CLI, scarica l'ultima versione eseguendo gcloud components update.

Abilitare Gatekeeper su un cluster con Policy Controller

Policy Controller è un motore di criteri basato sul progetto open source Gatekeeper. Google consiglia l'utilizzo di Policy Controller perché include funzionalità aggiuntive per contribuire a far rispettare le norme su larga scala, tra cui policy-as-code, supporto multicluster, integrazione con Cloud Logging e possibilità di visualizzare lo stato delle norme nella console Google Cloud . Policy Controller è disponibile con una licenza Google Kubernetes Engine (GKE) Enterprise, ma puoi installare Gatekeeper sul tuo cluster.

Per attivare Policy Controller su un cluster, segui la guida all'installazione di Policy Controller.

Attivare i vincoli e i modelli di vincoli

Gatekeeper e i relativi modelli di vincoli possono essere installati e attivati senza influire negativamente sui workload esistenti o nuovi. Per questo motivo, ti consigliamo di applicare al cluster tutti i modelli di vincoli di sicurezza dei pod applicabili.

Inoltre, è possibile implementare vincoli Gatekeeper per applicare controlli a oggetti specifici, come spazi dei nomi e pod.

Osserva l'esempio riportato di seguito che limita l'ambito ai pod che si trovano nello spazio dei nomi production definendoli nell'istruzione di corrispondenza del vincolo:

...
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]
    namespaces:
      - "production"

Per ulteriori informazioni sulle opzioni disponibili per gli oggetti Constraint e ConstraintTemplate, consulta Come utilizzare Gatekeeper.

Testare le policy

L'introduzione di nuove norme nei cluster esistenti può avere un comportamento negativo, ad esempio limitando i carichi di lavoro esistenti. Uno dei vantaggi dell'utilizzo di Gatekeeper per la sicurezza dei pod è la possibilità di testare l'efficacia e l'impatto di un criterio senza apportare modifiche effettive, utilizzando una modalità di prova. Ciò consente di testare la configurazione dei criteri rispetto ai cluster in esecuzione senza l'applicazione. Le violazioni delle norme vengono registrate e identificate senza interferenze.

I seguenti passaggi mostrano come uno sviluppatore, un operatore o un amministratore può applicare modelli di vincoli e vincoli per determinarne l'efficacia o il potenziale impatto:

  1. Applica la configurazione di Gatekeeper per replicare i dati per la funzionalità di controllo e dry run:

    kubectl create -f- <<EOF
apiVersion: config.gatekeeper.sh/v1alpha1
kind: Config
metadata:
  name: config
  namespace: "gatekeeper-system"
spec:
  sync:
    syncOnly:
      - group: ""
        version: "v1"
        kind: "Namespace"
      - group: ""
        version: "v1"
        kind: "Pod"
EOF

  2. Senza vincoli applicati, esegui un workload con privilegi elevati:

    kubectl create -f- <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: nginx
  labels:
    app: nginx
spec:
  containers:
  - name: nginx
    image: nginx
    securityContext:
      privileged: true
EOF

  3. Carica il modello di vincolo k8spspprivilegedcontainer precedente:

    kubectl create -f- <<EOF
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
  name: k8spspprivilegedcontainer
spec:
  crd:
    spec:
      names:
        kind: K8sPSPPrivilegedContainer
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package k8spspprivileged

        violation[{"msg": msg, "details": {}}] {
            c := input_containers[_]
            c.securityContext.privileged
            msg := sprintf("Privileged container is not allowed: %v, securityContext: %v", [c.name, c.securityContext])
        }
        input_containers[c] {
            c := input.review.object.spec.containers[_]
        }
        input_containers[c] {
            c := input.review.object.spec.initContainers[_]
        }
EOF

  4. Crea un nuovo vincolo per estendere questo modello di vincolo. Questa volta, imposta enforcementAction su dryrun:

    kubectl create -f- <<EOF
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPPrivilegedContainer
metadata:
  name: psp-privileged-container
spec:
  enforcementAction: dryrun
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]
EOF

  5. Con Gatekeeper che sincronizza i dati degli oggetti in esecuzione e controlla passivamente le violazioni, verifica se sono state rilevate violazioni controllando il status del vincolo:

    kubectl get k8spspprivilegedcontainer.constraints.gatekeeper.sh/psp-privileged-container -o yaml

    apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPPrivilegedContainer
metadata:
...
 name: psp-privileged-container
...
spec:
 enforcementAction: dryrun
 match:
   kinds:
   - apiGroups:
     - ""
     kinds:
     - Pod
status:
 auditTimestamp: "2019-12-15T22:19:54Z"
 byPod:
 - enforced: true
   id: gatekeeper-controller-manager-0
 violations:
 - enforcementAction: dryrun
   kind: Pod
   message: 'Privileged container is not allowed: nginx, securityContext: {"privileged":
     true}'
   name: nginx
   namespace: default

  6. Per verificare che la policy non interferisca con i deployment, esegui un altro pod con privilegi:

    kubectl create -f- <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: privpod
  labels:
    app: privpod
spec:
  containers:
  - name: nginx
    image: nginx
    securityContext:
      privileged: true
EOF

    Il nuovo pod verrà implementato correttamente.

  7. Per eseguire la pulizia delle risorse create in questa sezione, esegui questi comandi:

    kubectl delete k8spspprivilegedcontainer.constraints.gatekeeper.sh/psp-privileged-container
kubectl delete constrainttemplate k8spspprivilegedcontainer
kubectl delete pod/nginx
kubectl delete pod/privpod

Applicare i criteri

Ora che puoi confermare la validità e l'impatto di un criterio senza influire sui workload esistenti o nuovi, puoi implementare un criterio con applicazione completa.

Basandosi sugli esempi utilizzati per convalidare la norma riportata sopra, i seguenti passaggi mostrano come uno sviluppatore, un operatore o un amministratore può applicare modelli e vincoli per applicare una norma:

  1. Carica il modello di vincolo k8spspprivilegedcontainer menzionato in precedenza:

    kubectl create -f- <<EOF
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
  name: k8spspprivilegedcontainer
spec:
  crd:
    spec:
      names:
        kind: K8sPSPPrivilegedContainer
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package k8spspprivileged

        violation[{"msg": msg, "details": {}}] {
            c := input_containers[_]
            c.securityContext.privileged
            msg := sprintf("Privileged container is not allowed: %v, securityContext: %v", [c.name, c.securityContext])
        }
        input_containers[c] {
            c := input.review.object.spec.containers[_]
        }
        input_containers[c] {
            c := input.review.object.spec.initContainers[_]
        }
EOF

  2. Crea un nuovo vincolo per estendere questo modello di vincolo. Questa volta, non impostare la chiave enforcementAction. Per impostazione predefinita, la chiave enforcementAction è impostata su deny:

    kubectl create -f- <<EOF
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPPrivilegedContainer
metadata:
  name: psp-privileged-container
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]
EOF

  3. Tenta di eseguire il deployment di un container che dichiara autorizzazioni con privilegi:

    kubectl create -f- <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: nginx
  labels:
    app: nginx
spec:
  containers:
  - name: nginx
    image: nginx
    securityContext:
      privileged: true
EOF

    Dovresti ricevere il seguente messaggio di errore:

    Error from server ([denied by psp-privileged-container] Privileged container is not allowed:
nginx, securityContext: {"privileged": true}): error when creating "STDIN": admission webhook "validation.gatekeeper.sh" denied the request: [denied by psp-privileged-container]
Privileged container is not allowed: nginx, securityContext: {"privileged": true}

  4. Per eseguire la pulizia, esegui questi comandi:

    kubectl delete k8spspprivilegedcontainer.constraints.gatekeeper.sh/psp-privileged-container
kubectl delete constrainttemplate k8spspprivilegedcontainer

Alternative a Servizio di segreteria

Gatekeeper ti consente di dichiarare e applicare criteri di sicurezza personalizzati a livello di pod. Puoi anche utilizzare il controller di ammissione integrato di Kubernetes per applicare criteri di sicurezza predefiniti a livello di pod.PodSecurity Queste policy predefinite sono allineate ai livelli definiti dagli standard di sicurezza dei pod.

Passaggi successivi

Gatekeeper fornisce un mezzo incredibilmente efficace per applicare e convalidare la sicurezza sui cluster GKE utilizzando policy dichiarative. L'utilizzo di Gatekeeper va oltre la sicurezza e può essere utilizzato in altri aspetti dell'amministrazione e delle operazioni.