Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Melhores Práticas Essenciais de RBAC para Proteger Seus Clusters Kubernetes

Domine o RBAC do Kubernetes com este guia essencial para proteger seus clusters. Aprenda a aplicar o princípio do menor privilégio criando e gerenciando meticulosamente Roles, ClusterRoles e suas vinculações. Este artigo fornece exemplos práticos para permissões com escopo de namespace e em todo o cluster, destacando melhores práticas como evitar curingas, auditoria regular e aproveitamento de contas de serviço. Minimize vulnerabilidades e fortaleça seus ambientes de produção Kubernetes contra acesso não autorizado e potenciais falhas de segurança.

37 visualizações

Melhores Práticas Essenciais de RBAC para Proteger Seus Clusters Kubernetes

O Kubernetes tornou-se o padrão de fato para orquestração de contêineres, permitindo que as organizações implementem e escalem aplicações com uma eficiência sem precedentes. No entanto, com grande poder vem grande responsabilidade, especialmente quando se trata de segurança. Um dos mecanismos de segurança mais críticos no Kubernetes é o Controle de Acesso Baseado em Função (RBAC), que permite aos administradores definir precisamente quem pode fazer o quê dentro de um cluster.

Este artigo investiga os conceitos fundamentais do RBAC do Kubernetes e descreve as melhores práticas essenciais para proteger seus ambientes de produção. Exploraremos como aplicar o princípio do menor privilégio, guiando você pela criação, vinculação e gerenciamento meticuloso de Roles e ClusterRoles para minimizar vulnerabilidades de segurança potenciais. Ao entender e aplicar essas estratégias, você pode aprimorar significativamente a postura de segurança de seus clusters Kubernetes e proteger suas valiosas aplicações e dados.

Entendendo os Fundamentos do RBAC do Kubernetes

O RBAC no Kubernetes é um mecanismo de autorização que regula o acesso aos recursos do Kubernetes com base nas funções de usuários individuais ou contas de serviço. É uma camada crucial de defesa, garantindo que apenas entidades autorizadas possam executar ações específicas em recursos específicos.

Em sua essência, o RBAC depende de quatro tipos principais de objetos do Kubernetes:

  • Role: Um Role é um conjunto de permissões que se aplica dentro de um namespace específico. Ele define quais ações (verbos como get, list, create, update, delete) podem ser realizadas em quais recursos (como pods, deployments, services, secrets). Por exemplo, um Role pode conceder permissão para ler pods e deployments no namespace development.
  • ClusterRole: Semelhante a um Role, mas um ClusterRole define permissões que se aplicam em todo o cluster ou a recursos não-namespaced (por exemplo, nodes, persistentvolumes). Um ClusterRole também pode definir permissões para recursos namespaced em todos os namespaces. Por exemplo, um ClusterRole pode permitir listar todos os nodes no cluster.
  • RoleBinding: Um RoleBinding concede as permissões definidas em um Role (ou um ClusterRole aplicado a um namespace) a um usuário, grupo ou conta de serviço. Ele opera sempre dentro de um namespace específico.
  • ClusterRoleBinding: Um ClusterRoleBinding concede as permissões definidas em um ClusterRole a um usuário, grupo ou conta de serviço, aplicando essas permissões em todo o cluster.

Juntos, esses objetos permitem que os administradores construam um sistema de controle de acesso robusto e granular. Quando um usuário ou aplicação (representado por uma conta de serviço) tenta realizar uma ação, o Kubernetes avalia os RoleBindings e ClusterRoleBindings existentes para determinar se a ação solicitada é permitida.

Implementando o Princípio do Menor Privilégio com RBAC

Um princípio central da segurança da informação é o Princípio do Menor Privilégio (PoLP). Este princípio dita que um usuário, programa ou processo deve receber apenas o conjunto mínimo de permissões necessárias para realizar seu trabalho. No Kubernetes, aderir ao PoLP é fundamental para a segurança. Funções excessivamente permissivas são um vetor de ataque comum, pois permitem que um invasor que comprometa uma conta obtenha acesso muito mais amplo do que o pretendido.

Definindo Permissões Granulares

Ao elaborar políticas de RBAC, pense nas ações e recursos precisos necessários:

  • Verbos: Em vez de conceder * (todos os verbos), especifique exatamente quais ações são necessárias (get, list, watch, create, update, delete, patch, exec).
  • Recursos: Seja específico sobre os recursos (pods, deployments, secrets, configmaps). Evite conceder acesso a * para recursos, a menos que absolutamente necessário e para funções administrativas bem justificadas.
  • Nomes de Recursos: Para recursos muito sensíveis como secrets, você pode até restringir o acesso a resourceNames específicos dentro de um tipo de recurso.
  • Grupos de API: A maioria dos recursos do Kubernetes pertence a um grupo de API (por exemplo, apps, rbac.authorization.k8s.io, "" para recursos principais). Especifique o grupo de API correto para refinar ainda mais o escopo.

Escopo de Namespace

Para a maioria das aplicações e equipes de desenvolvimento, as permissões devem ser confinadas a namespaces específicos. Essa segregação garante que um comprometimento em um ambiente de aplicação ou equipe não leve automaticamente a acesso em todo o cluster. Sempre prefira Role e RoleBinding em vez de ClusterRole e ClusterRoleBinding sempre que possível.

Implementação Prática de RBAC: Exemplos

Vamos percorrer alguns exemplos práticos de criação e vinculação de políticas de RBAC.

Exemplo 1: Acesso de Desenvolvedor a um Namespace Específico

Imagine que um desenvolvedor precise gerenciar implantações e visualizar logs em seu namespace dedicado, dev-team-a. Ele não deve ter acesso a outros namespaces ou recursos em todo o cluster.

Primeiro, defina um Role para o desenvolvedor no namespace dev-team-a:

# dev-role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: dev-team-a
  name: dev-deployer
rules:
- apiGroups: ["apps"] # Para Deployments
  resources: ["deployments", "replicasets"]
  verbs: ["get", "list", "watch", "create", "update", "delete", "patch"]
- apiGroups: ["core"] # Para Pods e logs de Pods
  resources: ["pods", "pods/log"]
  verbs: ["get", "list", "watch"]

Aplique esta função:

kubectl apply -f dev-role.yaml

Em seguida, vincule este Role a um usuário específico (por exemplo, [email protected] via um provedor de identidade externo) ou a uma conta de serviço dentro do namespace dev-team-a:

# dev-role-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: dev-team-a
  name: john-dev-deployer-binding
subjects:
- kind: User
  name: [email protected] # O nome diferencia maiúsculas de minúsculas
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: dev-deployer
  apiGroup: rbac.authorization.k8s.io

Aplique esta vinculação:

kubectl apply -f dev-role-binding.yaml

Agora, [email protected] só pode gerenciar implantações e visualizar logs dentro do namespace dev-team-a. Eles não podem, por exemplo, criar segredos em kube-system ou listar todos os nós.

Exemplo 2: Conta de Serviço de Aplicação Acessando Segredos

Uma aplicação em execução como ServiceAccount precisa ler um segredo específico em seu próprio namespace.

Primeiro, certifique-se de que a conta de serviço exista ou crie uma:

# app-sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: my-app-namespace
  name: my-app-service-account

Aplique esta conta de serviço:

kubectl apply -f app-sa.yaml

Em seguida, defina um Role que permita a leitura de um segredo específico:

# secret-reader-role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: my-app-namespace
  name: secret-reader
rules:
- apiGroups: ["core"]
  resources: ["secrets"]
  resourceNames: ["my-app-db-credentials"]
  verbs: ["get"]

Aplique esta função:

kubectl apply -f secret-reader-role.yaml

Finalmente, vincule este Role à my-app-service-account:

# app-secret-reader-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: my-app-namespace
  name: my-app-secret-reader-binding
subjects:
- kind: ServiceAccount
  name: my-app-service-account
  namespace: my-app-namespace
roleRef:
  kind: Role
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

Aplique esta vinculação:

kubectl apply -f app-secret-reader-binding.yaml

A aplicação agora só poderá ler o segredo especificado e nada mais.

Exemplo 3: Função de Administrador de Cluster (com cautela)

Funções administrativas em todo o cluster devem ser concedidas com extrema moderação. Aqui está um exemplo de um ClusterRole para listar todos os nós, o que pode ser necessário para uma ferramenta de monitoramento.

# node-viewer-clusterrole.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: node-viewer
rules:
- apiGroups: ["core"]
  resources: ["nodes"]
  verbs: ["get", "list", "watch"]

Aplique este ClusterRole:

kubectl apply -f node-viewer-clusterrole.yaml

Em seguida, vincule-o a uma conta de serviço de monitoramento usando um ClusterRoleBinding:

# monitoring-node-viewer-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: monitoring-node-viewer-binding
subjects:
- kind: ServiceAccount
  name: monitoring-sa
  namespace: monitoring
roleRef:
  kind: ClusterRole
  name: node-viewer
  apiGroup: rbac.authorization.k8s.io

Aplique esta vinculação:

kubectl apply -f monitoring-node-viewer-binding.yaml

Aviso: Tenha extremo cuidado com ClusterRole e ClusterRoleBinding para usuários humanos. Limite seu uso a administradores de cluster reais e contas de serviço de infraestrutura específicas.

Melhores Práticas Essenciais de RBAC

Aderir a essas melhores práticas melhorará significativamente a postura de segurança do seu cluster:

  1. Aplique o Princípio do Menor Privilégio (PoLP):

    • Conceda apenas as permissões mínimas necessárias. Revise cuidadosamente cada permissão.
    • Evite curingas (*) para resources e verbs sempre que possível. Se usados, justifique-os e tente limitá-los o máximo possível.
    • Restrinja o acesso a recursos sensíveis (como secrets) usando resourceNames nas funções.

  2. Use Namespaces para Segregação:

    • Organize suas aplicações e equipes em namespaces distintos.
    • Por padrão, use Role e RoleBinding para conceder permissões dentro desses namespaces.

  3. Prefira Roles a ClusterRoles:

    • Use ClusterRole e ClusterRoleBinding apenas quando as permissões genuinamente precisarem ser em todo o cluster (por exemplo, gerenciamento de nós, definições de recursos personalizados, agentes de monitoramento específicos).
    • A maioria das permissões específicas da aplicação deve ser namespaced.

  4. Audite e Revise Regularmente as Políticas de RBAC:

    • As políticas de RBAC podem se desviar ao longo do tempo. Revise periodicamente quem tem qual acesso.
    • Use ferramentas como kubectl auth can-i para testar permissões para usuários/contas de serviço específicos.
      ```bash

    Verifique se '[email protected]' pode obter pods em 'dev-team-a'

    kubectl auth can-i get pods --namespace=dev-team-a [email protected]

    Verifique se 'monitoring-sa' pode listar nós (em todo o cluster)

    kubectl auth can-i list nodes --as=system:serviceaccount:monitoring:monitoring-sa
    ```
    * Considere ferramentas de terceiros ou scripts personalizados para auditoria abrangente de RBAC.

  5. Separe as Funções Administrativas:

    • Nunca conceda privilégios de cluster-admin a desenvolvedores ou contas de serviço de aplicação.
    • Crie ClusterRoles administrativas específicas com apenas as permissões elevadas necessárias (por exemplo, cluster-reader, node-reader).

  6. Aproveite Contas de Serviço para Aplicações:

    • As aplicações em execução dentro do cluster devem usar ServiceAccounts para interagir com a API do Kubernetes.
    • Cada aplicação ou microsserviço deve, idealmente, ter sua própria ServiceAccount dedicada com permissões mínimas.
    • Certifique-se de que automountServiceAccountToken esteja definido como false para pods que não exigem acesso à API, e apenas true onde necessário.

  7. Integre com Gerenciamento de Identidade Externo:

    • Para usuários humanos, integre o Kubernetes com um provedor de identidade externo (por exemplo, OIDC, LDAP, Active Directory) para autenticação e gerenciamento de grupos.
    • Mapeie grupos externos para RoleBindings ou ClusterRoleBindings do Kubernetes para facilitar o gerenciamento.

  8. Automatize o Gerenciamento de RBAC com GitOps:

    • Trate suas políticas de RBAC como código. Armazene-as em um repositório com controle de versão (Git).
    • Use os princípios do GitOps para gerenciar e implantar configurações de RBAC, garantindo consistência, rastreabilidade e rollbacks mais fáceis.

  9. Monitore Eventos de RBAC por meio de Logs de Auditoria:

    • Ative e configure o registro de auditoria do Kubernetes para rastrear requisições de API, incluindo quem realizou qual ação e quando.
    • Revise regularmente os logs de auditoria para detectar tentativas de acesso não autorizado ou atividades suspeitas relacionadas ao RBAC.

  10. Atualize Regularmente o Kubernetes:

    • Mantenha-se atualizado com as versões do Kubernetes para se beneficiar de patches e melhorias de segurança, incluindo melhorias no RBAC.

Armadilhas Comuns e Como Evitá-las

  • Curingas Excessivamente Permissivos: Conceder apiGroups: ["*"], resources: ["*"] ou verbs: ["*"] é um grande risco de segurança. Seja sempre explícito.
  • Uso padrão de cluster-admin: Nunca use o grupo system:masters ou a ClusterRole cluster-admin para operações do dia a dia nem a atribua a usuários não-administradores. Isso é uma porta dos fundos para todo o seu cluster.
  • Ignorando automountServiceAccountToken: Por padrão, todo pod recebe um token de conta de serviço montado. Se um pod não precisar interagir com a API do Kube, defina automountServiceAccountToken: false na especificação do pod ou na definição da conta de serviço para reduzir sua superfície de ataque.
  • Falta de Auditoria: Sem revisão regular, as políticas de RBAC podem se tornar desatualizadas ou excessivamente permissivas à medida que as necessidades do cluster evoluem. Implemente um processo de revisão.
  • Confusão entre Role e ClusterRole: O entendimento incorreto do escopo pode levar à concessão de acesso em todo o cluster quando apenas acesso namespaced era pretendido.

Conclusão

Proteger seus clusters Kubernetes é uma jornada contínua, e o RBAC é uma ferramenta indispensável em seu arsenal de segurança. Ao aplicar diligentemente o princípio do menor privilégio, segmentar o acesso usando namespaces, definir cuidadosamente funções e vinculações e manter um processo de auditoria rigoroso, você pode construir uma base de segurança robusta. Lembre-se de que o RBAC não é uma solução de "configurar e esquecer"; ele requer atenção e adaptação contínuas à medida que seu cluster e aplicações evoluem. Adote essas melhores práticas para garantir que seu ambiente Kubernetes permaneça resiliente contra acesso não autorizado e ameaças potenciais.