GSP482

Présentation

Dans cet atelier, vous allez apprendre comment accorder différents niveaux de privilèges aux applications selon leurs exigences individuelles à l'aide des fonctionnalités de sécurité de Kubernetes Engine.

Lors de la configuration des paramètres de sécurité, il est nécessaire d'accorder aux applications le plus petit jeu de privilèges qui leur permette tout de même de fonctionner correctement. Des applications ayant plus de privilèges que nécessaire présentent un danger lorsqu'elles sont compromises. Dans un cluster Kubernetes, ces privilèges peuvent être regroupés dans les grands niveaux suivants :

• Accès à l'hôte : décrit les autorisations dont dispose une application sur son nœud hôte, en dehors de son conteneur. Cette opération est contrôlée à l'aide des contextes de sécurité du pod et du conteneur, ainsi que des profils AppArmor.
• Accès au réseau : décrit les autres ressources ou charges de travail auxquelles une application peut accéder en passant par le réseau. Cela est contrôlé avec NetworkPolicies.
• Accès aux API Kubernetes : décrit les appels d'API qu'une application est autorisée à effectuer. L'accès aux API est contrôlé grâce au modèle de Contrôle des accès basé sur les rôles (CABR) avec les définitions de Role et de RoleBinding.

Dans les sections ci-dessous, vous découvrirez trois scénarios avec différentes exigences de sécurité à chacun de ces trois niveaux :

Scénario	Accès à l'hôte	Accès au réseau	Accès aux API Kubernetes
Serveur Web renforcé (NGINX)	Minimum	Doit être capable de servir le port 80	Aucun
Boucle de contrôle Kubernetes (version de démonstration)	Minimum	Doit être capable d'accéder au serveur d'API	Liste et pods correctifs
Daemonset privilégié (chargeur AppArmor)	Privilégié	Aucun	Aucun

Cet atelier a été créé par les ingénieurs de GKE Helmsman pour vous aider à mieux comprendre la sécurité de GKE. Cliquez ici pour visualiser cette démonstration sur GitHub. Nous vous invitons tous à enrichir nos ressources !