К разделу «Облачная платформа»
К разделу «Безопасность»
К разделу «Облачная платформа
К разделу «Безопасность
info@linxdatacenter.com
Поды могут иметь доступ к различной информации и компонентам кластера Kubernetes. Также при определенных настройках подов сами поды и кластер Kubernetes, в котором они выполняются, могут быть уязвимы к атакам.
В кластере Kubernetes с помощью установленного Gatekeeper можно применять ограничения (constraints). Эти ограничения создаются на основе шаблонов ограничений (constraint templates). Вы можете создавать собственные шаблоны и ограничения.
Кроме того, кластеры Kubernetes Linx Cloud уже содержат преднастроенные шаблоны и ограничения, направленные на повышение безопасности эксплуатации развернутой рабочей нагрузки.
Отключение или изменение этих шаблонов и ограничений может снизить безопасность кластера Kubernetes.
Описание:
Это ограничение запрещает запуск подов с опцией
.
Если не запрещать запуск пода с этой опцией, то под получит следующие возможности:
, отправленной из пода.
для каждого процесса.
Такие возможности очень широки и сами по себе считаются уязвимостями, так как могут привести к раскрытию чувствительных переменных окружения, манипулированию процессами и облегчению эксплуатации других уязвимостей.
Пример действия ограничения:
Манифест pod_namespace.yaml, не удовлетворяющий ограничению
При попытке применить такой манифест с помощью
, будет выведено похожее сообщение о нарушении ограничения для создаваемого пода:
Под, нарушивший ограничение, не будет создан.
Описание:
Это ограничение запрещает монтировать в под директории хоста, на котором под выполняется. Таким образом, обеспечивается защита данных кластера, которые находятся на этом хосте.
Пример действия ограничения:
При попытке применить такой манифест с помощью
, будет выведено похожее сообщение о нарушении ограничения для создаваемого пода:
Под, нарушивший ограничение, не будет создан.
Было полезно?
Опишите вашу задачу, и мы поможем вам ее решить
Отправьте нам ошибку и мы обязательно её проверим