Konfigurasikan kebijakan keamanan tingkat pod menggunakan komponen gatekeeper - Container Service for Kubernetes

Untuk memenuhi persyaratan kepatuhan kluster dan meningkatkan keamanan kluster, Anda dapat mengaktifkan fitur manajemen kebijakan keamanan. Fitur ini menyediakan aturan kebijakan keamanan untuk berbagai skenario kontainer Kubernetes, mencakup dimensi seperti infrastruktur (Infra), spesifikasi kepatuhan Kubernetes (Compliance), ekstensi berdasarkan kemampuan PodSecurityPolicy (PSP), dan kebijakan umum (K8s-general). Anda dapat mengaktifkan atau menyesuaikan kebijakan keamanan untuk aplikasi kontainer melalui Konsol, sehingga penerapan dan pembaruan pod tetap aman serta terkendali.

Pengantar administrasi kebijakan

PodSecurityPolicy (PSP) telah ditinggalkan sejak Kubernetes 1.21. Sebagai responsnya, Container Service for Kubernetes (ACK) meningkatkan fitur manajemen kebijakan berbasis PSP yang sebelumnya ada dengan memperluas kemampuannya melalui admission controller Gatekeeper berbasis Open Policy Agent (OPA). Ekstensi ini mencakup statistik status administrasi kebijakan, pelaporan log, dan pengambilan log. ACK juga menyediakan perpustakaan lengkap berisi aturan administrasi kebijakan bawaan untuk berbagai skenario aplikasi Kubernetes. Konfigurasi aturan dapat dilakukan melalui antarmuka sederhana di Konsol, sehingga menurunkan hambatan penggunaan fitur administrasi kebijakan.

Prasyarat

Versi kluster adalah 1.16 atau lebih baru. Untuk meningkatkan versi kluster, lihat Tingkatkan kluster ACK secara manual.
Jika Anda menggunakan pengguna Resource Access Management (RAM) untuk mengelola kebijakan, pastikan pengguna RAM tersebut memiliki izin berikut:
- cs:DescribePolicies: Menampilkan daftar perpustakaan aturan administrasi kebijakan.
- cs:DescribePolicyDetails: Mengambil detail templat aturan kebijakan.
- cs:DescribePolicyGovernanceInCluster: Mengambil detail administrasi kebijakan suatu kluster.
- cs:DescribePolicyInstances: Mengambil daftar instans kebijakan yang diterapkan di kluster.
- cs:DescribePolicyInstancesStatus: Mengambil status penerapan instans untuk berbagai jenis kebijakan di kluster.
- cs:DeployPolicyInstance: Menerapkan instans aturan kebijakan di kluster tertentu.
- cs:DeletePolicyInstance: Menghapus instans aturan kebijakan di kluster tertentu.
- cs:ModifyPolicyInstance: Memodifikasi instans aturan kebijakan di kluster tertentu.
Untuk informasi selengkapnya tentang cara membuat kebijakan RAM kustom, lihat Gunakan RAM untuk memberikan izin akses ke kluster dan sumber daya cloud.

Perbandingan komponen kebijakan keamanan

ACK menyediakan dua jenis komponen kebijakan keamanan: dikelola dan tidak dikelola. Hanya satu jenis yang dapat diaktifkan dalam satu kluster pada satu waktu. Tabel berikut membandingkan kedua jenis tersebut.

Item	Dikelola	Tidak Dikelola
Mode penerapan	Di-host oleh lapisan kontrol: Komponen diterapkan pada lapisan kontrol kluster dan sepenuhnya dikelola oleh ACK.	Di-host oleh lapisan data: Komponen diterapkan di kluster sebagai beban kerja. Secara default, komponen ini diinstal di namespace kube-system dan mengonsumsi sumber daya pod pada node pekerja.
Kluster yang berlaku	Kluster ACK dalam Mode Otomatis yang menjalankan Kubernetes 1.30 atau lebih baru	Kluster ACK yang dikelola dan kluster khusus ACK yang menjalankan Kubernetes 1.16 atau lebih baru
Konfigurasi parameter startup	Parameter startup komponen diatur ke nilai default oleh sistem dan tidak dapat dikustomisasi.	Anda dapat mengkustomisasi parameter startup komponen.
Instalasi komponen inti	managed-gatekeeper managed-policy-template-controller Pada Component ManagementManaged	gatekeeper policy-template-controller Komponen pengumpulan log (logtail-ds atau loongcollector)
Pengumpulan log kebijakan	Log dikirim ke proyek Simple Log Service (SLS) tertentu. Untuk informasi selengkapnya, lihat Kumpulkan log dari komponen lapisan kontrol di kluster ACK yang dikelola.	Komponen pengumpulan log diinstal di kluster untuk mengumpulkan log dan mengirimkannya ke proyek SLS tertentu.
Perpustakaan aturan kebijakan	Semua kebijakan dalam Perpustakaan aturan kebijakan keamanan kontainer	Semua kebijakan dalam Perpustakaan aturan kebijakan keamanan kontainer Fitur pertahanan kontainer proaktif yang disediakan oleh Security Center

Catatan

Fitur ini hanya berlaku untuk node Linux.
Aturan kebijakan kustom tidak didukung. Semua aturan berasal dari perpustakaan aturan bawaan ACK.

Langkah 1: Instal atau tingkatkan komponen manajemen kebijakan keamanan

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel kiri, pilih Security > Policy Governance.
Pada halaman Policy Management, instal atau tingkatkan komponen sesuai petunjuk.
Saat mengaktifkan fitur manajemen kebijakan keamanan, Anda harus menginstal komponen-komponen berikut. Komponen-komponen ini gratis tetapi mengonsumsi sumber daya pod.
- gatekeeper: admission controller kebijakan Kubernetes berbasis mesin kebijakan OPA. Komponen ini membantu Anda mengelola dan menerapkan kebijakan OPA di kluster untuk mengimplementasikan fitur seperti manajemen tag namespace.
  Catatan
  Hanya komponen gatekeeper yang disediakan oleh ACK yang didukung. Jika Anda telah menginstal komponen gatekeeper dari sumber lain, Anda harus menguninstall-nya terlebih dahulu, lalu menginstal ulang versi yang disediakan oleh ACK. Untuk informasi selengkapnya tentang catatan rilis komponen gatekeeper, lihat gatekeeper.
- Komponen pengumpulan log: mengumpulkan dan mengambil event blokir atau peringatan yang melanggar batasan kebijakan.
- policy-template-controller: controller Kubernetes yang dikembangkan berdasarkan templat kebijakan Alibaba Cloud. Komponen ini membantu Anda mengelola instans kebijakan yang diterapkan dari berbagai templat kebijakan dan status administrasi keseluruhan kluster.

Langkah 2: Gunakan fitur manajemen kebijakan keamanan

Titik masuk

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel kiri, pilih Security > Policy Governance.
Pada halaman Policy Management, instal atau tingkatkan komponen sesuai petunjuk jika diperlukan. Kemudian, lakukan operasi berikut sesuai kebutuhan.

Lihat status eksekusi kebijakan keamanan saat ini di kluster

Klik tab Policy Enforcement Overview untuk melihat status administrasi kebijakan kluster.

Ikhtisar pengaktifan kebijakan: Bagian ini menampilkan jumlah total serta jumlah kebijakan mitigasi risiko tinggi dan menengah yang diaktifkan. Bagian ini juga menyediakan daftar kebijakan yang direkomendasikan untuk diaktifkan.
Statistik event blokir dan peringatan selama 7 hari terakhir.
Tabel catatan implementasi kebijakan selama 7 hari terakhir menampilkan 100 log Blokir atau Peringatan terbaru dari 7 hari terakhir secara default. Jika ingin melihat lebih banyak log audit, Anda dapat mengklik ikon di samping Policy Implementation Records For The Last 7 Days, lalu klik tautan Simple Log Service di jendela pop-up untuk melihat semua log di logstore yang ditentukan di Konsol Simple Log Service (SLS).

Buat dan kelola instans kebijakan keamanan

Klik tab My Policies. Lalu, klik Create Policy Instance dan konfigurasikan parameter di kotak dialog Create Policy Instance.

Item Konfigurasi	Deskripsi
Policy Type	Pilih jenis kebijakan. Jenis utama berikut tersedia: infra: kebijakan terkait sumber daya lapisan infrastruktur. compliance: kebijakan yang dikustomisasi berdasarkan spesifikasi kepatuhan Kubernetes, seperti Penguatan Keamanan Kubernetes Alibaba Cloud. psp: kebijakan yang menggantikan kemampuan PSP. k8s-general: kebijakan umum yang menerapkan batasan penguatan keamanan pada konfigurasi sumber daya Kubernetes berdasarkan praktik terbaik keamanan. Untuk informasi selengkapnya, lihat Perpustakaan aturan kebijakan keamanan kontainer.
Policy Name	Berdasarkan jenis kebijakan yang dipilih, pilih nama templat kebijakan yang akan diterapkan dari daftar drop-down.
Action	Blokir: penerapan sumber daya tertentu yang melanggar batasan aturan kebijakan akan diblokir. Peringatan: penerapan sumber daya tertentu yang melanggar batasan aturan kebijakan tetap diizinkan. Namun, log peringatan atas pelanggaran tersebut akan dihasilkan untuk diaudit.
Applicable Scope	Pilih namespace di kluster tempat instans kebijakan diberlakukan.
Parameter Configuration	Jika kotak teks konfigurasi parameter kosong secara default, aturan tersebut tidak memerlukan konfigurasi parameter. Jika kotak teks berisi templat parameter yang perlu dikonfigurasi, konfigurasikan parameter dalam format yang ditentukan. Untuk informasi selengkapnya tentang parameter kebijakan, lihat deskripsi parameter.

Lihat daftar kebijakan keamanan dan instans kebijakan keamanan yang diterapkan di kluster

Klik tab My Policies untuk melihat nama semua kebijakan yang dapat diterapkan di kluster.

Anda dapat memfilter kebijakan yang ditampilkan di pojok kanan atas daftar. Nama kebijakan yang diaktifkan akan ditampilkan terlebih dahulu. Jumlah instans kebijakan menunjukkan berapa banyak instans kebijakan tersebut yang diterapkan di kluster.

Jika jumlah instans kebijakan kosong, berarti kebijakan tersebut belum diterapkan di kluster. Di kolom Actions, klik Enable untuk mengonfigurasi parameter dan menerapkan instans kebijakan yang sesuai.

Policy rule description

Klik Edit di kolom Actions untuk memodifikasi konfigurasi instans kebijakan.
Jika lebih dari satu instans kebijakan diterapkan di kluster, klik View Policy Instances di kolom Actions. Lalu, klik Edit untuk memodifikasi konfigurasi terkait.
Klik Delete di kolom Actions untuk menghapus semua instans kebijakan yang diterapkan di kluster.

Untuk informasi selengkapnya tentang deskripsi kebijakan dan templat contoh, lihat Perpustakaan aturan kebijakan keamanan kontainer.

Operasi terkait: Aktifkan perlindungan penghapusan untuk namespace atau layanan

Setelah mengaktifkan fitur manajemen kebijakan keamanan seperti dijelaskan dalam Langkah 1: Instal atau tingkatkan komponen manajemen kebijakan keamanan, Anda juga dapat mengaktifkan perlindungan penghapusan untuk namespace atau layanan yang melibatkan bisnis kritis atau data sensitif. Hal ini membantu mencegah biaya pemeliharaan akibat penghapusan tidak disengaja. Setelah fitur ini diaktifkan, sumber daya terkait hanya dapat dihapus setelah Anda menonaktifkan perlindungan penghapusannya secara manual.

Prosedur berikut menunjukkan cara mengaktifkan perlindungan penghapusan untuk namespace yang sudah ada. Langkah-langkah untuk operasi lain serupa. Anda dapat menuju ke halaman yang sesuai di Konsol dan menyelesaikan konfigurasi sesuai petunjuk.

Aktifkan perlindungan penghapusan untuk namespace yang sudah ada
1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
2. Pada halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel navigasi kiri, klik Namespaces and Quotas.
3. Di daftar namespace, temukan namespace yang ingin Anda kelola. Di kolom Actions, klik Edit. Di kotak dialog yang muncul, aktifkan perlindungan penghapusan sesuai petunjuk.
Aktifkan perlindungan penghapusan untuk layanan yang sudah ada
1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
2. Pada halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel kiri, pilih Network > Services.
3. Di daftar layanan, temukan layanan yang ingin Anda kelola. Di kolom Actions, klik ikon lalu klik Enable Deletion Protection. Di kotak dialog yang muncul, aktifkan perlindungan penghapusan sesuai petunjuk.

Referensi

Anda dapat mengonfigurasi fitur inspeksi untuk memindai risiko keamanan dalam konfigurasi beban kerja kluster Anda. Untuk informasi selengkapnya, lihat Konfigurasikan inspeksi untuk memeriksa beban kerja kluster.