譯者 | 李睿

審校 | 孫淑娟

人們可以想象有這樣一座巨大的堡壘，這個堡壘有厚重的墻壁、堅固的大門，以及瞭望塔和護城河，以免受攻擊。堡壘有多層防御可以阻止攻擊者，雖然攻擊者可能會游過護城河，但必須翻越高墻才能進入堡壘。因此，攻擊者可能只會破壞單層防御，但多層防御會使其難以進入堡壘。

如果仔細(xì)觀察，發(fā)現(xiàn)這些防御層都做了阻止攻擊者入侵這樣一件事。這正是保護應(yīng)用程序所需要的——防止未經(jīng)授權(quán)的訪問的多層防御。談到Kubernetes訪問控制，需要管理許多不同的組件。Kubernetes集群本質(zhì)上是復(fù)雜和動態(tài)的，這使得它們很容易受到網(wǎng)絡(luò)攻擊。

本文探討對多個Kubernetes集群進行訪問時如何管理的基本注意事項，有助于企業(yè)更好地規(guī)劃Kubernetes的整體安全性。

隔離Kubernetes API服務(wù)器

在Kubernetes集群中，通常是采用控制平臺控制節(jié)點，用節(jié)點控制Pod，用Pod控制容器，用容器控制應(yīng)用程序。但是能夠控制平臺的是什么?Kubernetes公開了允許企業(yè)配置整個Kubernetes集群的API，因此保護對Kubernetes API的訪問是保持Kubernetes安全性方面最關(guān)鍵的考慮因素之一。由于Kubernetes完全由API驅(qū)動，因此控制和限制誰可以訪問集群以及允許他們執(zhí)行哪些操作是第一道防線。

以下來看看Kubernetes訪問控制的三個步驟。在身份驗證過程開始之前，確保正確配置網(wǎng)絡(luò)訪問控制和TLS連接是首要任務(wù)。

(1)API認(rèn)證

訪問控制的第一步是驗證請求。建議盡可能使用外部身份驗證服務(wù)。例如，如果企業(yè)已經(jīng)使用身份提供程序(IdP)管理用戶帳戶，例如Okta、GSuite和Azure AD，以對用戶進行身份驗證。Kubernetes API服務(wù)器并不保證身份驗證程序的運行順序，因此確保用戶只綁定到單個身份驗證方法非常重要。對以前使用過的身份驗證方法和令牌進行定期檢查，如果不再使用，則將其停用，這一點也很重要。

(2)API授權(quán)

一旦通過身份驗證，Kubernetes會檢查請求是否被授權(quán)?；诮巧脑L問控制(RBAC)是授權(quán)API訪問的首選方式。在默認(rèn)情況下，應(yīng)該了解四個內(nèi)置的Kubernetes角色——集群管理員(cluster-admin)、管理員(admin)、編輯(edit)、查看(view)。集群角色可用于設(shè)置集群資源(例如節(jié)點)的權(quán)限，而其角色可用于命名空間資源(例如pod)。Kubernetes中的RBAC具有一定的復(fù)雜性和人工操作。

(3)準(zhǔn)入控制

在成功驗證和授權(quán)執(zhí)行特定任務(wù)后，最后一步是準(zhǔn)入控制以修改或驗證請求。Kubernetes提供了幾個模塊來幫助定義和自定義允許在集群上運行的內(nèi)容，例如資源請求限制和強制執(zhí)行Pod安全策略。準(zhǔn)入控制器還可用于通過Webhook擴展Kubernetes API服務(wù)器，以實現(xiàn)高級安全性，例如實現(xiàn)圖像掃描。

基于角色的訪問控制(RBAC)

Kubernetes被如此大規(guī)模采用的原因之一是因為社區(qū)的蓬勃發(fā)展和定期更新。Kubernetes 1.6中引入的關(guān)鍵更新之一是基于角色的訪問控制(RBAC)。雖然基本身份驗證和授權(quán)由RBAC負(fù)責(zé)，但角色的創(chuàng)建和維護在多個集群環(huán)境中變得至關(guān)重要。如果將內(nèi)置集群管理角色授予任何用戶，他們實際上可以在集群中執(zhí)行任何操作。管理和跟蹤角色和訪問權(quán)限是一項挑戰(zhàn)。

對于具有大型多集群環(huán)境的企業(yè)，將創(chuàng)建和刪除大量資源，這通常會增加未使用或丟失角色無人看管的風(fēng)險。而在將來創(chuàng)建新角色時，某些非活動角色綁定可能會意外授予權(quán)限。發(fā)生這種情況是因為角色綁定可以引用不再存在的角色。將來如果使用相同的角色名稱，這些未使用的角色綁定可以授予原本不應(yīng)該存在的權(quán)限。

集群的復(fù)雜性和動態(tài)性

隨著集群、角色和用戶數(shù)量的增加，確?？刂菩枰脩?、組、角色和權(quán)限的適當(dāng)可見性。每次添加新角色時，都需要配置額外的規(guī)則。對于大型企業(yè)來說，這可能意味著需要管理數(shù)百甚至數(shù)千條規(guī)則。由于缺乏一個集中的系統(tǒng)來管理集群中的所有角色，這是管理員面臨最糟糕的噩夢。

Kubernetes受歡迎的原因之一是它本質(zhì)上是可擴展的。它配備了開箱即用的安全工具，允許應(yīng)用程序和基礎(chǔ)設(shè)施根據(jù)需求進行擴展。這意味著Kubernetes集群可以是短暫的，可以立即創(chuàng)建和銷毀。每次創(chuàng)建或銷毀集群時，都必須為特定用戶配置訪問權(quán)限。如果對集群的訪問沒有得到適當(dāng)?shù)墓芾?，這可能會導(dǎo)致安全漏洞，可能會授予對整個集群的未經(jīng)授權(quán)的訪問權(quán)限。

結(jié)論

如今的大多數(shù)團隊分布在企業(yè)內(nèi)的不同業(yè)務(wù)部門。在通常情況下，開發(fā)人員、測試人員、業(yè)務(wù)分析師和顧問都可能在同一個應(yīng)用程序上工作——每個人都需要訪問不同的集群或同一集群的不同組件。為不同用戶提供正確級別的訪問權(quán)限，并在必要時撤銷該訪問權(quán)限非常重要。

Kubernetes是一個由節(jié)點、集群、Pod、容器、卷等多個組件組成的協(xié)調(diào)良好的系統(tǒng)。在規(guī)模上，可以將數(shù)百個這樣的組件分布在世界各地的多個集群中。識別“誰”需要“什么”，訪問“哪個”資源變得具有挑戰(zhàn)性。只有到那時，才會意識到對Kubernetes安全工具的需求，它不僅可以與企業(yè)的基礎(chǔ)設(shè)施無縫集成，還可以提供一種安全且統(tǒng)一的方式來管理對多個集群的訪問。

原文標(biāo)題：??Multi-Cluster Kubernetes Management and Access??，作者：Kyle Hunter