Centro di Conoscenza DevOps
Centro di Conoscenza DevOps

Pratiche Consigliate RBAC Essenziali per la Messa in Sicurezza dei tuoi Cluster Kubernetes

Padroneggia Kubernetes RBAC con questa guida essenziale per la messa in sicurezza dei tuoi cluster. Impara ad applicare il principio del minimo privilegio creando e gestendo meticolosamente Ruoli, ClusterRuoli e le loro associazioni. Questo articolo fornisce esempi pratici per permessi a livello di namespace e a livello di cluster, evidenziando pratiche consigliate come evitare i caratteri jolly, l'auditing regolare e l'utilizzo degli account di servizio. Riduci al minimo le vulnerabilità e fortifica i tuoi ambienti Kubernetes di produzione contro l'accesso non autorizzato e potenziali violazioni della sicurezza.

35 visualizzazioni

Migliori Pratiche Essenziali di RBAC per Proteggere i Tuoi Cluster Kubernetes

Kubernetes è diventato lo standard de facto per l'orchestrazione di container, consentendo alle organizzazioni di distribuire e scalare applicazioni con un'efficienza senza precedenti. Tuttavia, un grande potere comporta grandi responsabilità, in particolare quando si tratta di sicurezza. Uno dei meccanismi di sicurezza più critici in Kubernetes è il Controllo degli Accessi Basato sui Ruoli (RBAC), che consente agli amministratori di definire con precisione chi può fare cosa all'interno di un cluster.

Questo articolo approfondisce i concetti fondamentali dell'RBAC di Kubernetes e delinea le migliori pratiche essenziali per proteggere i tuoi ambienti di produzione. Esploreremo come applicare il principio del minimo privilegio, guidandoti attraverso la creazione, l'associazione e la gestione meticolosa di Role e ClusterRole per minimizzare le potenziali vulnerabilità di sicurezza. Comprendendo e applicando queste strategie, potrai migliorare significativamente la postura di sicurezza dei tuoi cluster Kubernetes e proteggere le tue preziose applicazioni e dati.

Comprendere i Fondamentali dell'RBAC di Kubernetes

L'RBAC in Kubernetes è un meccanismo di autorizzazione che regola l'accesso alle risorse di Kubernetes basato sui ruoli dei singoli utenti o account di servizio. È uno strato cruciale di difesa, che assicura che solo le entità autorizzate possano eseguire azioni specifiche su risorse specifiche.

Al suo cuore, l'RBAC si basa su quattro tipi principali di oggetti Kubernetes:

  • Role: Un Role è un insieme di permessi che si applica all'interno di uno specifico namespace. Definisce quali azioni (verbi come get, list, create, update, delete) possono essere eseguite su quali risorse (come pods, deployments, services, secrets). Ad esempio, un Role potrebbe concedere il permesso di leggere pods e deployments nel namespace development.
  • ClusterRole: Simile a un Role, ma un ClusterRole definisce permessi che si applicano all'intero cluster o a risorse non namespaced (ad esempio, nodes, persistentvolumes). Un ClusterRole può anche definire permessi per risorse namespaced attraverso tutti i namespace. Ad esempio, un ClusterRole potrebbe consentire l'elenco di tutti i nodes nel cluster.
  • RoleBinding: Un RoleBinding concede i permessi definiti in un Role (o un ClusterRole applicato a livello di namespace) a un utente, gruppo o account di servizio. Opera sempre all'interno di uno specifico namespace.
  • ClusterRoleBinding: Un ClusterRoleBinding concede i permessi definiti in un ClusterRole a un utente, gruppo o account di servizio, applicando tali permessi all'intero cluster.

Insieme, questi oggetti consentono agli amministratori di costruire un sistema di controllo degli accessi robusto e granulare. Quando un utente o un'applicazione (rappresentata da un account di servizio) tenta di eseguire un'azione, Kubernetes valuta gli RoleBindings e ClusterRoleBindings esistenti per determinare se l'azione richiesta è consentita.

Implementare il Principio del Minimo Privilegio con RBAC

Un principio centrale della sicurezza delle informazioni è il Principio del Minimo Privilegio (PoLP). Questo principio impone che a un utente, programma o processo debba essere concesso solo il set minimo di permessi necessario per svolgere il proprio compito. In Kubernetes, aderire al PoLP è di fondamentale importanza per la sicurezza. I ruoli eccessivamente permissivi sono un vettore di attacco comune, poiché consentono a un attaccante che compromette un account di ottenere un accesso molto più ampio del previsto.

Definire Permessi Granulari

Quando si creano le politiche RBAC, pensa alle azioni e alle risorse precise richieste:

  • Verbi: Invece di concedere * (tutti i verbi), specifica esattamente quali azioni sono necessarie (get, list, watch, create, update, delete, patch, exec).
  • Risorse: Sii specifico riguardo alle risorse (pods, deployments, secrets, configmaps). Evita di concedere l'accesso a * per le risorse a meno che non sia assolutamente necessario e per ruoli amministrativi ben giustificati.
  • Nomi delle Risorse: Per risorse molto sensibili come i secrets, puoi persino limitare l'accesso a specifici resourceNames all'interno di un tipo di risorsa.
  • Gruppi API: La maggior parte delle risorse di Kubernetes appartiene a un gruppo API (ad es., apps, rbac.authorization.k8s.io, "" per le risorse core). Specifica il gruppo API corretto per restringere ulteriormente l'ambito.

Definizione dell'Ambito del Namespace

Per la maggior parte delle applicazioni e dei team di sviluppo, i permessi dovrebbero essere confinati a specifici namespace. Questa segregazione assicura che una compromissione in un ambiente di un'applicazione o di un team non porti automaticamente ad un accesso a livello di cluster. Preferire sempre Role e RoleBinding rispetto a ClusterRole e ClusterRoleBinding quando possibile.

Implementazione Pratica di RBAC: Esempi

Esaminiamo alcuni esempi pratici di creazione e associazione di politiche RBAC.

Esempio 1: Accesso dello Sviluppatore a uno Specifico Namespace

Immagina che uno sviluppatore debba gestire i deployment e visualizzare i log nel suo namespace dedicato, dev-team-a. Non dovrebbe avere accesso ad altri namespace o a risorse a livello di cluster.

Innanzitutto, definisci un Role per lo sviluppatore nel namespace dev-team-a:

# dev-role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: dev-team-a
  name: dev-deployer
rules:
- apiGroups: ["apps"] # For Deployments
  resources: ["deployments", "replicasets"]
  verbs: ["get", "list", "watch", "create", "update", "delete", "patch"]
- apiGroups: ["core"] # For Pods and Pod logs
  resources: ["pods", "pods/log"]
  verbs: ["get", "list", "watch"]

Applica questo ruolo:

kubectl apply -f dev-role.yaml

Successivamente, associa questo Role a un utente specifico (ad esempio, [email protected] tramite un provider di identità esterno) o a un account di servizio all'interno del namespace dev-team-a:

# dev-role-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: dev-team-a
  name: john-dev-deployer-binding
subjects:
- kind: User
  name: [email protected] # Name is case sensitive
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: dev-deployer
  apiGroup: rbac.authorization.k8s.io

Applica questa associazione:

kubectl apply -f dev-role-binding.yaml

Ora, [email protected] può solo gestire i deployment e visualizzare i log all'interno del namespace dev-team-a. Non può, ad esempio, creare segreti in kube-system o elencare tutti i nodi.

Esempio 2: Account di Servizio di un'Applicazione che Accede ai Segreti

Un'applicazione che esegue come ServiceAccount deve leggere un segreto specifico nel proprio namespace.

Innanzitutto, assicurati che l'account di servizio esista o creane uno:

# app-sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: my-app-namespace
  name: my-app-service-account

Applica questo account di servizio:

kubectl apply -f app-sa.yaml

Successivamente, definisci un Role che consenta la lettura di un segreto specifico:

# secret-reader-role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: my-app-namespace
  name: secret-reader
rules:
- apiGroups: ["core"]
  resources: ["secrets"]
  resourceNames: ["my-app-db-credentials"]
  verbs: ["get"]

Applica questo ruolo:

kubectl apply -f secret-reader-role.yaml

Infine, associa questo Role all'my-app-service-account:

# app-secret-reader-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: my-app-namespace
  name: my-app-secret-reader-binding
subjects:
- kind: ServiceAccount
  name: my-app-service-account
  namespace: my-app-namespace
roleRef:
  kind: Role
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

Applica questa associazione:

kubectl apply -f app-secret-reader-binding.yaml

L'applicazione sarà ora in grado di leggere solo il segreto specificato e nient'altro.

Esempio 3: Ruolo di Amministratore di Cluster (con cautela)

I ruoli amministrativi a livello di cluster dovrebbero essere concessi con estrema parsimonia. Ecco un esempio di un ClusterRole per elencare tutti i nodi, che potrebbe essere necessario per uno strumento di monitoraggio.

# node-viewer-clusterrole.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: node-viewer
rules:
- apiGroups: ["core"]
  resources: ["nodes"]
  verbs: ["get", "list", "watch"]

Applica questo ClusterRole:

kubectl apply -f node-viewer-clusterrole.yaml

Quindi, associalo a un account di servizio di monitoraggio usando un ClusterRoleBinding:

# monitoring-node-viewer-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: monitoring-node-viewer-binding
subjects:
- kind: ServiceAccount
  name: monitoring-sa
  namespace: monitoring
roleRef:
  kind: ClusterRole
  name: node-viewer
  apiGroup: rbac.authorization.k8s.io

Applica questa associazione:

kubectl apply -f monitoring-node-viewer-binding.yaml

Attenzione: Sii estremamente cauto con ClusterRole e ClusterRoleBinding per gli utenti umani. Limita il loro utilizzo a veri amministratori di cluster e a specifici account di servizio dell'infrastruttura.

Migliori Pratiche Essenziali di RBAC

L'adesione a queste migliori pratiche migliorerà significativamente la postura di sicurezza del tuo cluster:

  1. Applica il Principio del Minimo Privilegio (PoLP):

    • Concedi solo i permessi minimi necessari. Esamina attentamente ogni permesso.
    • Evita i wildcard (*) per resources e verbs ogni volta che è possibile. Se usati, giustificali e cerca di limitarli il più strettamente possibile.
    • Limita l'accesso a risorse sensibili (come i secrets) utilizzando resourceNames nei ruoli.

  2. Usa i Namespace per la Segregazione:

    • Organizza le tue applicazioni e i tuoi team in namespace distinti.
    • Per impostazione predefinita, usa Role e RoleBinding per concedere i permessi all'interno di questi namespace.

  3. Preferisci i Ruoli ai ClusterRuoli:

    • Usa ClusterRole e ClusterRoleBinding solo quando i permessi devono essere effettivamente a livello di cluster (ad esempio, gestione dei nodi, definizioni di risorse personalizzate, agenti di monitoraggio specifici).
    • La maggior parte dei permessi specifici delle applicazioni dovrebbe essere a livello di namespace.

  4. Audita e Rivedi Regolarmente le Politiche RBAC:

    • Le politiche RBAC possono cambiare nel tempo. Rivedi periodicamente chi ha quale accesso.
    • Usa strumenti come kubectl auth can-i per testare i permessi per specifici utenti/account di servizio.
      ```bash

    Check if '[email protected]' can get pods in 'dev-team-a'

    kubectl auth can-i get pods --namespace=dev-team-a [email protected]

    Check if 'monitoring-sa' can list nodes (cluster-wide)

    kubectl auth can-i list nodes --as=system:serviceaccount:monitoring:monitoring-sa
    ```
    * Considera strumenti di terze parti o script personalizzati per un auditing RBAC completo.

  5. Separa i Ruoli Amministrativi:

    • Non concedere mai privilegi cluster-admin agli sviluppatori o agli account di servizio delle applicazioni.
    • Crea specifici ClusterRoles amministrativi con solo i permessi elevati necessari (ad esempio, cluster-reader, node-reader).

  6. Sfrutta gli Account di Servizio per le Applicazioni:

    • Le applicazioni in esecuzione all'interno del cluster dovrebbero utilizzare ServiceAccount per interagire con l'API di Kubernetes.
    • Ogni applicazione o microservizio dovrebbe idealmente avere il proprio ServiceAccount dedicato con permessi minimi.
    • Assicurati che automountServiceAccountToken sia impostato su false per i pod che non richiedono accesso all'API, e solo true quando necessario.

  7. Integra con la Gestione dell'Identità Esterna:

    • Per gli utenti umani, integra Kubernetes con un provider di identità esterno (ad esempio, OIDC, LDAP, Active Directory) per l'autenticazione e la gestione dei gruppi.
    • Mappa i gruppi esterni a RoleBindings o ClusterRoleBindings di Kubernetes per una gestione più semplice.

  8. Automatizza la Gestione RBAC con GitOps:

    • Tratta le tue politiche RBAC come codice. Archiviali in un repository con controllo di versione (Git).
    • Usa i principi GitOps per gestire e distribuire le configurazioni RBAC, garantendo coerenza, tracciabilità e rollback più semplici.

  9. Monitora gli Eventi RBAC tramite i Log di Audit:

    • Abilita e configura il logging di audit di Kubernetes per tracciare le richieste API, inclusi chi ha eseguito quale azione e quando.
    • Rivedi regolarmente i log di audit per rilevare tentativi di accesso non autorizzati o attività sospette relative all'RBAC.

  10. Aggiorna Regolarmente Kubernetes:

    • Rimani aggiornato con le versioni di Kubernetes per beneficiare di patch di sicurezza e miglioramenti, inclusi i miglioramenti RBAC.

Errori Comuni e Come Evitarli

  • Wildcard Eccessivamente Permissivi: Concedere apiGroups: ["*"], resources: ["*"] o verbs: ["*"] è un rischio di sicurezza significativo. Sii sempre esplicito.
  • Uso predefinito di cluster-admin: Non usare mai il gruppo system:masters o il ClusterRole cluster-admin per le operazioni quotidiane o assegnarlo a utenti non amministratori. Questo è una backdoor per l'intero cluster.
  • Ignorare automountServiceAccountToken: Per impostazione predefinita, ogni pod riceve un token di account di servizio montato. Se un pod non ha bisogno di interagire con l'API di Kube, imposta automountServiceAccountToken: false nella specifica del pod o nella definizione dell'account di servizio per ridurre la sua superficie di attacco.
  • Mancanza di Auditing: Senza una revisione regolare, le politiche RBAC possono diventare obsolete o eccessivamente permissive man mano che le esigenze del cluster evolvono. Implementa un processo di revisione.
  • Confondere Role e ClusterRole: Un'errata comprensione dell'ambito può portare a concedere accesso a livello di cluster quando era inteso solo l'accesso a livello di namespace.

Conclusione

La messa in sicurezza dei tuoi cluster Kubernetes è un viaggio continuo, e l'RBAC è uno strumento indispensabile nel tuo arsenale di sicurezza. Applicando diligentemente il principio del minimo privilegio, segmentando l'accesso tramite namespace, definendo attentamente ruoli e associazioni e mantenendo un rigoroso processo di auditing, puoi costruire una solida base di sicurezza. Ricorda che l'RBAC non è una soluzione "imposta e dimentica"; richiede attenzione e adattamento continui man mano che il tuo cluster e le applicazioni evolvono. Adotta queste migliori pratiche per assicurarti che il tuo ambiente Kubernetes rimanga resiliente contro accessi non autorizzati e potenziali minacce.