Comprobación de RBAC en Kubernetes

Asegurar el clúster de Kubernetes es una cosa, pero mantener la seguridad sigue siendo un desafío. Sin embargo, se han agregado nuevas herramientas a Kubernetes: ahora es mucho más fácil hacer ambas cosas.

Kubernetes (desde la versión 1.6) introdujo el concepto de control de acceso basado en roles (RBAC), que permite a los administradores definir políticas de restricción para los usuarios del clúster. Es decir, crea un usuario con acceso limitado: limite el acceso del usuario a recursos como secretos o ciertos espacios de nombres.

En esta publicación, no entenderemos cómo implementar RBAC. Hay suficientes fuentes decentes en las que se discute este tema desde y hacia:

• https://medium.com/containerum/configuring-permissions-in-kubernetes-with-rbac-a456a9717d5d
• https://www.cncf.io/blog/2018/08/01/demystifying-rbac-in-kubernetes/
• https://docs.bitnami.com/kubernetes/how-to/configure-rbac-in-your-kubernetes-cluster/
• https://kubernetes.io/docs/reference/access-authn-authz/rbac/

Es mejor centrarse en cómo asegurarse de que se cumplan los requisitos de su empresa, y ver si los objetos RBAC en ejecución deben verificarse para ver si cumplen sus funciones.

Nuestro guión

Algunas organizaciones aceptan varios grupos para trabajar con el nuevo clúster de Kubernetes. Existe un requisito: no puede interferir en el despliegue de un grupo vecino, de modo que no haya problemas intergrupales o tiempos de inactividad imprevistos.

Y así, el propietario del clúster implementó RBAC en el clúster, lo que limita el acceso a un espacio de nombres específico. La primera comprobación mostró: los grupos no pueden ver los pods de los demás en el espacio de nombres.

Ha pasado una semana. El propietario del clúster notó que un usuario de un espacio de nombres aislado está leyendo secretos de otro espacio de nombres. ¿Cómo es eso? Él usó RBAC!

Lo apliqué, pero, como al trabajar con código, el sistema debe ser probado para cumplir con el resultado deseado. Es bueno que la kubectl Kubectl CLI Kubernetes proporcione un conjunto de herramientas para verificar la configuración de RBAC. kubectl auth can-i

Puedo? ("¿Puedo?")
can-i usando la API solo verifica si se puede realizar una determinada acción. Utiliza los siguientes parámetros: kubectl auth can-i VERB [TYPE | TYPE/NAME | NONRESOURCEURL] kubectl auth can-i VERB [TYPE | TYPE/NAME | NONRESOURCEURL] kubectl auth can-i VERB [TYPE | TYPE/NAME | NONRESOURCEURL] . Ahora el usuario actual puede verificar si una acción específica está disponible para él. Vamos:

 kubectl auth can-i create pods 

Esto debería devolver una respuesta "sí" o "no" con el código de salida apropiado.

Sin embargo, cuando tratamos de verificar los derechos de otro usuario, nos encontramos con un problema: el usuario bajo el cual estamos autorizados en el clúster se especifica en el archivo de configuración ./kube/config , y es inconveniente tener configuraciones separadas para probar usuarios individuales. Afortunadamente, Kubernetes viene al rescate nuevamente: puede simular usuarios usando las etiquetas --as= y --as-group= .

Actualice el comando, use la simulación de otro usuario:

 kubectl auth can-i create pods --as=me 

Deberíamos ver que con el código de salida 1 , se devuelve la respuesta "no".

Y esto es genial, porque ahora tenemos un conjunto de comandos que nos permiten verificar si un usuario o grupo de usuarios tiene acceso a cualquiera de los recursos de Kubernetes, desde la visualización de pods hasta la eliminación de secretos.

Automatización

Sin embargo, es demasiado pronto para detenerlo: ahora podemos implementar una secuencia de prueba que describirá la lista de requisitos y la ejecutará como parte de la canalización del CD. A la causa!

Hay mucho para elegir, hay suficientes idiomas para implementar: comenzando con Ava y Mocha en JavaScript y terminando con Rspec. En este caso, implemento el marco de prueba puramente Bash Bats .

A continuación se muestra un ejemplo de ejecución de una prueba. Comprueba el funcionamiento de las reglas RBAC que permiten a un usuario de un grupo cambiar el número de hogares en ejecución en el espacio de nombres. Se ejecuta si se ha establecido el atributo "ejecutable". O bien, utilizando el bats filename .

 #!/usr/bin/env bats @test "Team namespaces can scale deployments within their own namespace" { run kubectl auth can-i update deployments.apps --subresource="scale" --as-group="$group" --as="$user" -n $ns [ "$status" -eq 0 ] [ "$output" == "yes" ] done } 

Los --as-group --as y --as-group requieren el uso de las siguientes reglas RBAC:

 rules: - apiGroups: - authorization.k8s.io resources: - selfsubjectaccessreviews - selfsubjectrulesreviews verbs: - create 

Aquí hay un método simple para implementar controles en sus reglas RBAC en Kubernetes. Al hacerlo parte de la tubería de Kubernetes, fortaleceremos significativamente la política de RBAC. El método ha sido probado en la práctica: ¡detectar cambios que violan las políticas de acceso es mucho más rápido!

¡Gracias por tomarte el tiempo de leer esta publicación!