Kubernetes安全认证向前推进SIG-Auth

西雅图 - Kubernetes社区内的基本组织单位是特殊兴趣小组，它们有助于定义和实施新的特性和功能。为了安全起见，Kubernetes中的一个主要SIG是SIG-Auth。

Kubernetes是一个广泛使用的容器编排平台，在所有主要的公共云提供商上都受支持，并且也部署在本地。在KubeCon + CloudNativeCon NA 2018的会议中，SIG-Auth的领导者概述了该小组的工作方式以及Kubernetes项目当前和未来的优先事项。

“SIG-Auth负责设计和维护Kubernetes的部分，主要是在控制平面内部，必须处理授权和安全策略，”谷歌软件工程师Mike Danese在会议期间表示。

Danese说SIG-Auth有多个子项目，这些子项目都在该组的GitHub 存储库中详细说明。这些子项目包括审计，静态加密，身份验证器，节点身份/隔离，策略，证书和服务帐户。

SIG-Auth于2018年

在2018年的过程中，SIG-Auth一直积极帮助Kubernetes获得多种安全授权功能。添加的功能包括更好的节点隔离和特定标签的保护以及自删除。

谷歌的软件工程师Jordan Liggitt表示，“节点是集群中非常大的攻击媒介，因此能够阻止节点改变重要的污点和容忍度。”

Liggitt还表示，去年Kubernetes增加了更好的审计功能，包括在审核事件中添加了授权和录取注释，这些内容落在了Kubernetes 1.12版本中。在最近于12月3日普遍推出的Kubernetes 1.13版本中，etcd加密功能变得稳定。Etcd是Kubernetes的核心分布式键值存储。

“我们非常努力地使加密最终得到稳定;令人难以置信的是，”Liggitt说道。

服务帐户令牌也在2018年通过测试版实现进入Kubernetes。

“如果你关心安全问题，服务账户是最好的，”Liggitt说。“一般来说，服务帐户的令牌存储在秘密中，因此，如果您可以阅读秘密，则可以成为服务帐户。”

Kubernetes上下文中的秘密是使用服务所需的任何类型的密码，令牌或访问授权凭证。服务帐户还附加了基于角色的访问控制(RBAC)，以进一步验证帐户。

什么来了

在2019年，Kubernetes的改进之处在于改进政策。

“政策是一个模糊的定义，但通常当我们谈论政策时，我们指的是入场管制员和通过录取执行的事情，”Google软件工程师Tim Allclair说。“我们倾向于单独讨论授权和RBAC。”

Allclair说，在2018年，动态准入控制器的概念被引入Kubernetes，他预计在2019年将出现一个不同的准入控制器生态系统，以促进更好的政策和执法。对于常见用例，他说组织可能不想处理编写详细配置。SIG-Auth正在开发的一个用例是基于时间的接纳调度策略。此外，Allclair表示SIG-Auth已经就图像策略进行了对话。

“所以限制什么样的存储库和你可以使用的图像，”他说。

2019年SIG-Auth待办事项列表中的另一个重要项目是稳定Pod安全策略功能。根据Kubernetes项目文档，Pod安全策略是一个集群级资源，用于控制pod规范的安全敏感方面。截至Kubernetes 1.13版本，Pod安全策略仍被标记为测试版功能，尚未被视为稳定或一般可用。

“这是一个重要的领域，因此我们将考虑[Pod安全政策]的前进道路，”Allclair说。

展望未来，Allclair希望看到更多人参与SIG-Auth，尽管他警告所涉及的项目往往有一些非常复杂的细微差别。他补充说，新的贡献者最初可能会在审查过程中获得比其他Kubernetes SIG更多的阻力。

“我们正在处理可能带来非常严重影响的安全问题，”Allclair说。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！