Pod 安全标准
详细了解 Pod 安全标准中定义的不同策略级别。
Pod 安全标准定义了三种不同的策略,以广泛涵盖安全范围。这些策略是累积的,范围从高度宽松到高度严格。本指南概述了每种策略的要求。
| 配置文件 | 描述 |
|---|
| 特权级 | 不受限制的策略,提供尽可能广泛的权限级别。此策略允许已知的权限提升。 |
| 基准 | 最小限制性策略,可防止已知的权限提升。允许默认(最小指定)的 Pod 配置。 |
| 受限 | 高度限制性策略,遵循当前的 Pod 强化最佳实践。 |
配置文件详情
特权级
特权级策略是有意开放的,并且完全不受限制。这种类型的策略通常针对由特权、受信任用户管理的系统级和基础架构级工作负载。
特权级策略的定义是没有限制。如果您定义一个应用了特权级安全策略的 Pod,则您定义的 Pod 能够绕过典型的容器隔离机制。例如,您可以定义一个可以访问节点主机网络的 Pod。
基准
基准策略旨在方便常见容器化工作负载的采用,同时防止已知的权限提升。此策略针对非关键应用程序的应用程序操作员和开发人员。应强制执行/禁止以下列出的控件
注意
在此表中,通配符 (*) 表示列表中的所有元素。例如,spec.containers[*].securityContext 指的是所有已定义容器的安全上下文对象。如果任何列出的容器未能满足要求,则整个 pod 将无法通过验证。基准策略规范| 控件 | 策略 |
|---|
| HostProcess | Windows Pod 提供了运行HostProcess 容器的功能,该容器支持对 Windows 主机进行特权访问。基准策略中不允许对主机的特权访问。 特性状态: Kubernetes v1.26 [稳定] 受限字段 spec.securityContext.windowsOptions.hostProcessspec.containers[*].securityContext.windowsOptions.hostProcessspec.initContainers[*].securityContext.windowsOptions.hostProcessspec.ephemeralContainers[*].securityContext.windowsOptions.hostProcess
允许的值 |
| 主机命名空间 | 必须禁止共享主机命名空间。 受限字段 spec.hostNetworkspec.hostPIDspec.hostIPC
允许的值 |
| 特权容器 | 特权 Pod 会禁用大多数安全机制,必须禁止使用。 受限字段 spec.containers[*].securityContext.privilegedspec.initContainers[*].securityContext.privilegedspec.ephemeralContainers[*].securityContext.privileged
允许的值 |
| 功能 | 必须禁止添加超出以下列出的功能之外的附加功能。 受限字段 spec.containers[*].securityContext.capabilities.addspec.initContainers[*].securityContext.capabilities.addspec.ephemeralContainers[*].securityContext.capabilities.add
允许的值 - 未定义/nil
AUDIT_WRITECHOWNDAC_OVERRIDEFOWNERFSETIDKILLMKNODNET_BIND_SERVICESETFCAPSETGIDSETPCAPSETUIDSYS_CHROOT
|
| HostPath 卷 | 必须禁止 HostPath 卷。 受限字段 允许的值 |
| 主机端口 | 应完全禁止 HostPorts(推荐)或将其限制为已知列表 受限字段 spec.containers[*].ports[*].hostPortspec.initContainers[*].ports[*].hostPortspec.ephemeralContainers[*].ports[*].hostPort
允许的值 |
| AppArmor | 在受支持的主机上,默认情况下会应用 RuntimeDefault AppArmor 配置文件。基准策略应防止覆盖或禁用默认 AppArmor 配置文件,或将覆盖限制为允许的配置文件集。 受限字段 spec.securityContext.appArmorProfile.typespec.containers[*].securityContext.appArmorProfile.typespec.initContainers[*].securityContext.appArmorProfile.typespec.ephemeralContainers[*].securityContext.appArmorProfile.type
允许的值 - 未定义/nil
RuntimeDefaultLocalhost
metadata.annotations["container.apparmor.security.beta.kubernetes.io/*"]
允许的值 - 未定义/nil
runtime/defaultlocalhost/*
|
| SELinux | 设置 SELinux 类型受到限制,并且禁止设置自定义 SELinux 用户或角色选项。 受限字段 spec.securityContext.seLinuxOptions.typespec.containers[*].securityContext.seLinuxOptions.typespec.initContainers[*].securityContext.seLinuxOptions.typespec.ephemeralContainers[*].securityContext.seLinuxOptions.type
允许的值 - 未定义/""
container_tcontainer_init_tcontainer_kvm_tcontainer_engine_t (自 Kubernetes 1.31 起)
受限字段 spec.securityContext.seLinuxOptions.userspec.containers[*].securityContext.seLinuxOptions.userspec.initContainers[*].securityContext.seLinuxOptions.userspec.ephemeralContainers[*].securityContext.seLinuxOptions.userspec.securityContext.seLinuxOptions.rolespec.containers[*].securityContext.seLinuxOptions.rolespec.initContainers[*].securityContext.seLinuxOptions.rolespec.ephemeralContainers[*].securityContext.seLinuxOptions.role
允许的值 |
/proc 挂载类型 | 默认的 /proc 掩码设置为减少攻击面,并且应该是必需的。 受限字段 spec.containers[*].securityContext.procMountspec.initContainers[*].securityContext.procMountspec.ephemeralContainers[*].securityContext.procMount
允许的值 |
| Seccomp | Seccomp 配置文件不得显式设置为 Unconfined。 受限字段 spec.securityContext.seccompProfile.typespec.containers[*].securityContext.seccompProfile.typespec.initContainers[*].securityContext.seccompProfile.typespec.ephemeralContainers[*].securityContext.seccompProfile.type
允许的值 - 未定义/nil
RuntimeDefaultLocalhost
|
| Sysctls | Sysctls 可以禁用安全机制或影响主机上的所有容器,除允许的“安全”子集外,应禁止使用。如果 sysctl 在容器或 Pod 中进行了命名空间划分,并且与同一节点上的其他 Pod 或进程隔离,则认为它是安全的。 受限字段 spec.securityContext.sysctls[*].name
允许的值 - 未定义/nil
kernel.shm_rmid_forcednet.ipv4.ip_local_port_rangenet.ipv4.ip_unprivileged_port_startnet.ipv4.tcp_syncookiesnet.ipv4.ping_group_rangenet.ipv4.ip_local_reserved_ports (自 Kubernetes 1.27 起)net.ipv4.tcp_keepalive_time (自 Kubernetes 1.29 起)net.ipv4.tcp_fin_timeout (自 Kubernetes 1.29 起)net.ipv4.tcp_keepalive_intvl (自 Kubernetes 1.29 起)net.ipv4.tcp_keepalive_probes (自 Kubernetes 1.29 起)
|
受限
受限策略旨在以牺牲一些兼容性为代价来强制执行当前的 Pod 强化最佳实践。它针对安全关键型应用程序的操作员和开发人员,以及低信任度用户。应强制执行/禁止以下列出的控件
注意
在此表中,通配符 (*) 表示列表中的所有元素。例如,spec.containers[*].securityContext 指的是所有已定义容器的安全上下文对象。如果任何列出的容器未能满足要求,则整个 pod 将无法通过验证。受限策略规范| 控件 | 策略 |
| 基准策略中的所有内容 |
| 卷类型 | 受限策略仅允许以下卷类型。 受限字段 允许的值 spec.volumes[*] 列表中的每一项都必须将以下字段之一设置为非空值spec.volumes[*].configMapspec.volumes[*].csispec.volumes[*].downwardAPIspec.volumes[*].emptyDirspec.volumes[*].ephemeralspec.volumes[*].persistentVolumeClaimspec.volumes[*].projectedspec.volumes[*].secret
|
| 权限提升 (v1.8+) | 不应允许权限提升(例如通过设置用户 ID 或设置组 ID 文件模式)。在 v1.25+ 中,这仅是 Linux 策略(spec.os.name != windows) 受限字段 spec.containers[*].securityContext.allowPrivilegeEscalationspec.initContainers[*].securityContext.allowPrivilegeEscalationspec.ephemeralContainers[*].securityContext.allowPrivilegeEscalation
允许的值 |
| 以非 root 用户身份运行 | 必须要求容器以非 root 用户身份运行。 受限字段 spec.securityContext.runAsNonRootspec.containers[*].securityContext.runAsNonRootspec.initContainers[*].securityContext.runAsNonRootspec.ephemeralContainers[*].securityContext.runAsNonRoot
允许的值 如果 Pod 级别的 spec.securityContext.runAsNonRoot 设置为 true,则容器字段可能未定义/nil。 |
| 以非 root 用户身份运行 (v1.23+) | 容器不得设置runAsUser为 0 受限字段 spec.securityContext.runAsUserspec.containers[*].securityContext.runAsUserspec.initContainers[*].securityContext.runAsUserspec.ephemeralContainers[*].securityContext.runAsUser
允许的值 |
| Seccomp (v1.19+) | Seccomp 配置文件必须显式设置为允许值之一。禁止使用 Unconfined 配置文件和*缺少*配置文件。*v1.25+ 中这是仅限 Linux 的策略 (spec.os.name != windows)* 受限字段 spec.securityContext.seccompProfile.typespec.containers[*].securityContext.seccompProfile.typespec.initContainers[*].securityContext.seccompProfile.typespec.ephemeralContainers[*].securityContext.seccompProfile.type
允许的值 如果 Pod 级别的 spec.securityContext.seccompProfile.type 字段设置正确,则容器字段可能未定义/nil。相反,如果*所有*容器级别的字段都已设置,则 Pod 级别的字段可能未定义/nil。 |
| 功能 (v1.22+) | 容器必须删除*所有*功能,并且只允许添加回 NET_BIND_SERVICE 功能。*v1.25+ 中这是仅限 Linux 的策略 (.spec.os.name != "windows")* 受限字段 spec.containers[*].securityContext.capabilities.dropspec.initContainers[*].securityContext.capabilities.dropspec.ephemeralContainers[*].securityContext.capabilities.drop
允许的值
受限字段 spec.containers[*].securityContext.capabilities.addspec.initContainers[*].securityContext.capabilities.addspec.ephemeralContainers[*].securityContext.capabilities.add
允许的值 |
策略实例化
将策略定义与策略实例化分离,可以在不同集群中对策略进行通用理解和使用一致的策略语言,而与底层实施机制无关。
随着机制的成熟,将在下文中针对每个策略进行定义。此处未定义各个策略的实施方法。
Pod 安全准入控制器
替代方案
**注意:**此部分链接到提供 Kubernetes 所需功能的第三方项目。Kubernetes 项目作者不对这些按字母顺序列出的项目负责。要将项目添加到此列表,请在提交更改之前阅读
内容指南。
更多信息。Kubernetes 生态系统中正在开发其他用于实施策略的替代方案,例如
Pod 操作系统字段
Kubernetes 允许您使用运行 Linux 或 Windows 的节点。您可以在一个集群中混合使用这两种节点。Kubernetes 中的 Windows 与基于 Linux 的工作负载有一些限制和区别。具体来说,许多 Pod securityContext 字段对 Windows 无效。
注意
v1.24 之前的 Kubelet 不强制执行 Pod 操作系统字段,如果集群的节点版本早于 v1.24,则受限策略应固定到 v1.25 之前的版本。受限 Pod 安全标准变更
Kubernetes v1.25 中的另一个重要变化是*受限*策略已更新为使用 pod.spec.os.name 字段。根据操作系统名称,可以针对其他操作系统放宽特定于特定操作系统的某些策略。
特定于操作系统的策略控制
仅当 .spec.os.name 不是 windows 时,才需要对以下控件进行限制
用户命名空间
用户命名空间是仅限 Linux 的功能,用于以更高的隔离度运行工作负载。它们与 Pod 安全标准如何协同工作在使用用户命名空间的 Pod 的文档中进行了描述。
常见问题解答
为什么在特权和基准之间没有配置文件?
此处定义的三个配置文件具有从最安全(受限)到最不安全(特权)的清晰线性级数,涵盖了广泛的工作负载。基准策略之上所需的权限通常特定于应用程序,因此我们在此细分市场中不提供标准配置文件。这并不是说在这种情况下应始终使用特权配置文件,而是说此空间中的策略需要根据具体情况进行定义。
如果出现对其他配置文件的明确需求,SIG Auth 将来可能会重新考虑这一立场。
安全配置文件和安全上下文之间有什么区别?
安全上下文在运行时配置 Pod 和容器。安全上下文在 Pod 清单中定义为 Pod 和容器规范的一部分,表示容器运行时的参数。
安全配置文件是控制平面机制,用于强制执行安全上下文中的特定设置,以及安全上下文之外的其他相关参数。截至 2021 年 7 月,Pod 安全策略已弃用,改为使用内置的Pod 安全准入控制器。
沙盒 Pod 怎么样?
当前没有控制 Pod 是否被视为沙盒的 API 标准。沙盒 Pod 可以通过使用沙盒运行时(例如 gVisor 或 Kata Containers)来识别,但没有沙盒运行时是什么的标准定义。
沙盒工作负载所需的保护可能与其他工作负载不同。例如,当工作负载与底层内核隔离时,限制特权权限的需求就会减少。这允许需要更高权限的工作负载仍然被隔离。
此外,沙盒工作负载的保护高度依赖于沙盒方法。因此,没有针对所有沙盒工作负载推荐的单一配置文件。
此页面上的项目指的是提供 Kubernetes 所需功能的第三方产品或项目。Kubernetes 项目作者不对这些第三方产品或项目负责。有关更多详细信息,请参阅CNCF 网站指南。
在提议添加额外第三方链接的更改之前,您应该阅读内容指南。