日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

容器云平臺的基礎(chǔ)安全和管理安全設(shè)計( 四 )

云知道


1.API Server和etcd之間
2.API Server和Controller Manager之間
3.API Server和Scheduler之間
4.API Server和Kubelet之間
5.平臺管理用戶和API Server之間
6.Kubelet和容器之間
7.業(yè)務(wù)用戶和業(yè)務(wù)pod之間(可選)
參考下圖:

容器云平臺的基礎(chǔ)安全和管理安全設(shè)計


2.1.3 網(wǎng)絡(luò)安全網(wǎng)絡(luò)隔離
K8s的網(wǎng)絡(luò)策略應(yīng)用于通過常用標簽標識的pod組 。然后,使用標簽來模擬傳統(tǒng)的分段網(wǎng)絡(luò),這些網(wǎng)絡(luò)通常用于在多層應(yīng)用程序中隔離層:例如,可以通過特定的“段”標簽來標識前端和后端pod 。策略控制這些段之間的流量,甚至控制來自外部源的流量 。
簡單路由網(wǎng)絡(luò)或常用的flannel網(wǎng)絡(luò)程序本身不能應(yīng)用網(wǎng)絡(luò)策略 。
目前Kubernetes只有幾個支持網(wǎng)絡(luò)策略的網(wǎng)絡(luò)組件:Romana,Calico和Canal;其中Weave在不久的將來指示支持,Red Hat的OpenShift包括了網(wǎng)絡(luò)策略功能 。因此如何容器云平臺基于OpenShift構(gòu)建會獲得OOTB的網(wǎng)絡(luò)策略功能 。
從網(wǎng)絡(luò)模型的流行度來看,flannel的網(wǎng)絡(luò)方案最流行,市場占有率較大,基于calico+network policy的方案逐步成熟中,可以持續(xù)跟進,在容器云構(gòu)建中可以在測試環(huán)境中進行驗證 。
在一些落地的方案中,容器云平臺建設(shè)過程中采用flannel的方案,但是通過為不同安全級別的應(yīng)用(租戶)建設(shè)不同的集群而實現(xiàn)應(yīng)用(租戶)網(wǎng)絡(luò)隔離 。
南北向流量的安全
對于南北向的流量,應(yīng)該引入傳統(tǒng)的網(wǎng)絡(luò)流量分析控制設(shè)備,例如IPS/IDS/審計/NGFW/WAF等 。
東西向流量的安全
東西向流量的安全也是非常關(guān)鍵的,目前可以采用的技術(shù)和產(chǎn)品比較少,但這個方面卻是非常關(guān)鍵的安全控制點,在沒有合適的產(chǎn)品可以替代的情況下,應(yīng)該盡量:
1.采用Mini Knernel的容器化操作系統(tǒng);
2.非特權(quán)用戶運行容器;
3.采用強制訪問控制技術(shù);
4.監(jiān)控宿主機文件系統(tǒng)的變更;
5.保持系統(tǒng)和組件的安全補丁為最新 。
2.2 管理安全設(shè)計
2.2.1 管理平臺安全建設(shè)
建立專屬CA中心,定期替換密鑰
在組件TLS加密通訊的關(guān)鍵因素是證書的安全,默認情況下,kubernetes集群搭建使用的私有CA,并且生成臨時的證書進行TLS加密通訊,但是為了保障TLS的有效性,保障CA更證書的私密以及以及降低組件證書的泄漏風險,因此建議集群的專屬CA中心,并且設(shè)置組件證書的有效期,在組件證書快到期的時候進行替換 。
檢查根證書到期時間的命令:
openssl x509 -noout -enddate -in /etc/kubernetes/ssl/kubelet-client.crt
2.2.2 用戶權(quán)限安全管理
容器云平臺的4A(即認證Authentication、賬號Account、授權(quán)Authorization、審計Audit)管理功能設(shè)計 。
構(gòu)建統(tǒng)一賬戶管理平臺(UIMS)
容器平臺是一個多組件組成的平臺系統(tǒng),每個組件自成系統(tǒng),比如鏡像管理,CI/CD平臺,日志系統(tǒng),監(jiān)控系統(tǒng)等,每個系統(tǒng)單獨管理各自的用戶數(shù)據(jù)容易行成信息孤島,分散的用戶管理模式阻礙了平臺的協(xié)調(diào)工作,因此構(gòu)建統(tǒng)一的標準化賬戶管理體系將是必不可少的 。
統(tǒng)一賬戶系統(tǒng)平臺可帶來統(tǒng)一的帳號管理、身份認證、用戶授權(quán)等基礎(chǔ)能力,為企業(yè)帶來諸如跨系統(tǒng)單點登錄、第三方授權(quán)登錄等基礎(chǔ)能力,為構(gòu)建開放平臺和業(yè)務(wù)生態(tài)提供了必要條件 。
基于『統(tǒng)一身份治理』的概念,可劃分為兩級賬戶體系、基礎(chǔ)權(quán)限模塊和基礎(chǔ)信息模塊三大模塊 。其中兩級賬戶體系將賬戶分為組織實體帳號和個人實體賬戶兩大類,個人實體從屬于組織實體,也可以不從屬任何組織實體,且個人實體可同時從屬于多個組織實體;基礎(chǔ)權(quán)限模塊將各業(yè)務(wù)系統(tǒng)的資源權(quán)限進行統(tǒng)一管理和授權(quán);基礎(chǔ)信息模塊用于描述組織實體和個人實體的基本信息,如組織實體名稱、地址、法人,個人實體姓名、電話號碼、性別等基礎(chǔ)信息 。此外統(tǒng)一賬戶系統(tǒng)提供統(tǒng)一的API與其他系統(tǒng)對接 。

推薦閱讀