《OpenShift / RHEL / DevSecOps 汇总目录》
以下两文介绍了如何利用容器特权配置对容器平台进行安全攻击,而本文介绍和部署运行容器相关的最佳 SecurityContext 实践。
安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。由下表可以看出,可在 Pod 和 Container 设置的 SecurityContext 项目部分相同、部分有差异。其中 Pod 的设置是缺省值,而 Container 的设置可以覆盖 Pod 的设置。
| pod.spec.securityContext | pod.spec.containers.securityContext |
|---|---|
| allowPrivilegeEscalation | |
| capabilities | |
| fsGroup | |
| fsGroupChangePolicy | |
| privileged | |
| procMount | |
| runAsGroup | runAsGroup |
| runAsNonRoot | runAsNonRoot |
| runAsUser | runAsUser |
| seLinuxOptions | seLinuxOptions |
| seccompProfile | seccompProfile |
| supplementalGroups | |
| sysctls | |
| windowsOptions | windowsOptions |
下面介绍其中和容器安全相关的项目:
allowPrivilegeEscalation 决定容器的权限是否可以升级。当设置为 true 时,容器将获得默认权限之外的额外权限;false 可以帮助降低权限升级攻击的风险。
containers:
- name: webapp
image: nginx:1.17
securityContext:
allowPrivilegeEscalation: false
runAsNonRoot 用来设置用于防止容器以 root 用户身份运行,因为 root 用户身份运行可能很危险。一般建议尽可能以非 root 方式运行容器,以降低权限升级攻击的风险。但请记住,某些应用程序可能需要 root 访问权限才能正常运行。当 runAsNonRoot 设置为 true 时,容器将以非根用户 ID(UID)启动,而不是默认的根用户 UID 0。
containers:
- name: webapp
image: nginx:1.17
securityContext:
runAsNonRoot: true
readOnlyRootFilesystem 用来设置用于阻止对容器 root 文件系统的写访问。启用此设置并将其设置为 "true "时,容器的 root 文件系统将被挂载为只读,如果尝试写入 root 文件系统失败,将导致运行时错误。启用此设置虽然会减少攻击面,不过可能并不适合所有容器/应用程序,尤其是那些需要对 root 文件系统进行写访问才能正常运行的容器/应用程序。
containers:
- name: webapp
image: nginx:1.17
securityContext:
readOnlyRootFilesystem: true
runAsUser 用来设置用于指定运行容器时应使用的用户 ID。默认情况下,容器是以 root 用户身份运行的,如果攻击者获得了对容器的访问权限,就会带来安全风险。为了降低权限升级攻击的风险,容器应尽可能以非 root 用户的身份运行。此配置可在 pod 和/或容器级别使用;如果在容器级别设置,它将覆盖 pod 的配置。
containers:
- name: webapp
image: nginx:1.17
securityContext:
runAsGroup: 1000
runAsGroup 用来设置指定容器主进程应在哪个组 ID 下运行。此配置也可用于 pod 和/或容器级别;如果在容器级别设置,它将覆盖 pod 的配置。
containers:
- name: webapp
image: nginx:1.17
securityContext:
runAsGroup: 1000
capabilities 用来设置容器可用的内核能力。建议缺省可放弃容器所有能力,只在必要时添加授权或允许的能力,这有助于降低容器遭受潜在权限升级攻击的风险。将 capabilities 字段设置为空对象 {} 即可从容器中删除所有 Linux 能力。
containers:
- name: webapp
image: nginx:1.17
securityContext:
capabilities: {}
containers:
- name: webapp
image: nginx:1.17
securityContext:
capabilities:
add:
- SYS_TIME
drop:
- SYS_ADMIN
https://www.cncf.io/blog/2023/12/15/best-practices-for-securing-kubernetes-deployments/
https://kubesec.io/basics/securitycontext-capabilities/