Topik ini menjelaskan sistem keamanan Container Service for Kubernetes (ACK) dari tiga dimensi berikut: keamanan runtime, rantai pasokan perangkat lunak tepercaya, dan keamanan infrastruktur. Sistem ini didukung oleh fitur-fitur yang disediakan oleh ACK, termasuk inspeksi keamanan, manajemen kebijakan, pemantauan runtime dan peringatan, pemindaian gambar, penandatanganan gambar, rantai pengiriman aplikasi cloud-native, keamanan default, manajemen identitas, serta kontrol akses terperinci.
Keamanan Runtime
Inspeksi Keamanan
Pengembang harus mengikuti prinsip hak istimewa minimal saat mengonfigurasi template pod. Jika tidak, penyerang dapat mengeksploitasi izin pod yang tidak diperlukan untuk meluncurkan serangan pelarian terhadap kontainer. ACK mendukung inspeksi keamanan untuk runtime, memungkinkan Anda memeriksa konfigurasi pod dari aplikasi yang sedang berjalan dan mendeteksi potensi risiko secara real-time.
Laporan inspeksi dihasilkan setelah inspeksi selesai, mencakup deskripsi setiap item inspeksi beserta saran untuk memperbaiki masalah keamanan. Anda juga dapat mengonfigurasi inspeksi berkala, dengan hasil dicatat ke Logstore yang ditentukan dalam Layanan Log Sederhana. Untuk informasi lebih lanjut, lihat Gunakan fitur inspeksi untuk mendeteksi risiko keamanan dalam beban kerja klaster ACK.
Manajemen Kebijakan
ACK menggunakan Open Policy Agent (OPA) sebagai pengontrol admission Gatekeeper, menyediakan fitur tambahan seperti pemantauan status tata kelola kebijakan, pengumpulan log, dan pencarian log. Berbagai pustaka kebijakan telah dipreinstal untuk mendukung skenario keamanan Kubernetes. Anda dapat mengonfigurasi kebijakan keamanan secara visual di konsol ACK, menyederhanakan proses tata kelola kebijakan. Untuk informasi lebih lanjut, lihat Aktifkan fitur tata kelola kebijakan.
Fitur manajemen kebijakan ACK membantu secara otomatis memblokir aplikasi berisiko selama penyebaran, meningkatkan keamanan aplikasi dan mengurangi biaya komunikasi serta pembelajaran bagi tim pengembangan dan O&M.
Pemantauan dan Peringatan Runtime
Aplikasi cloud-native diterapkan di dalam kontainer setelah melewati autentikasi dan kontrol admission server API. Namun, sesuai prinsip percaya nol, pemantauan dan peringatan diperlukan untuk memastikan keamanan runtime aplikasi. ACK terintegrasi dengan kemampuan peringatan dan deteksi kerentanan dari Security Center, memungkinkan administrator klaster memantau runtime aplikasi dan menerima peringatan atas kejadian keamanan. Pemantauan dan peringatan runtime digunakan untuk mencegah serangan berikut:
Pemuatan gambar jahat
Penyusupan virus dan program jahat
Intrusi ke dalam kontainer
Pelarian kontainer dan operasi berisiko tinggi
Untuk melihat peringatan secara real-time dan menangani peringatan, buka halaman detail klaster di konsol ACK. Di panel sebelah kiri, pilih . Untuk informasi lebih lanjut, lihat Gunakan pemantauan keamanan.
Kontainer Sandbox
Kontainer sandbox merupakan alternatif untuk runtime Docker yang memungkinkan Anda menjalankan aplikasi di dalam mesin virtual ringan dengan kernel khusus. Solusi ini meningkatkan isolasi sumber daya serta keamanan.
Kontainer sandbox ideal untuk skenario seperti isolasi aplikasi tidak tepercaya, isolasi kesalahan, isolasi performa, dan isolasi beban kerja antar pengguna. Kontainer sandbox menawarkan peningkatan keamanan, dampak minimal terhadap performa aplikasi, serta pengalaman pengguna yang serupa dengan Docker dalam hal logging, pemantauan, dan skalabilitas elastis. Untuk informasi lebih lanjut, lihat Kontainer Sandbox.
Komputasi rahasia berbasis TEE
ACK menyediakan komputasi rahasia berbasis Lingkungan Eksekusi Tepercaya (TEE), solusi all-in-one berbasis teknologi enkripsi perangkat keras. Komputasi rahasia berbasis TEE memastikan keamanan, integritas, dan kerahasiaan data, menyederhanakan pengembangan dan pengiriman aplikasi tepercaya atau rahasia, serta mengurangi biaya manajemen aplikasi tersebut.
Komputasi rahasia memungkinkan Anda mengisolasi data sensitif dan kode dalam TEE, mencegah akses oleh sisa sistem. Data yang disimpan dalam TEE tidak dapat diakses oleh aplikasi eksternal, BIOS, sistem operasi, kernel, administrator, insinyur O&M, penyedia layanan cloud, dan komponen perangkat keras kecuali CPU. Ini mengurangi kemungkinan kebocoran data dan menyederhanakan manajemen data. Untuk informasi lebih lanjut, lihat Komputasi rahasia berbasis TEE.
Rantai Pasokan Perangkat Lunak Tepercaya
Pemindaian Gambar
Container Registry memungkinkan Anda memindai semua gambar kontainer berbasis Linux untuk kerentanan yang diketahui. Setelah pemindaian, Anda akan menerima laporan berisi informasi tentang kerentanan yang terdeteksi dan saran untuk memperbaikinya. Pemindaian gambar membantu mengurangi risiko dalam gambar kontainer. Container Registry juga terintegrasi dengan mesin pemindaian Security Center, yang dapat mendeteksi kerentanan sistem, kerentanan aplikasi, dan sampel jahat dalam gambar.
Penandatanganan Gambar
Saat mengelola gambar kontainer, Anda dapat menggunakan mekanisme kepercayaan konten untuk memverifikasi bahwa gambar dan penerbitnya tepercaya. Penerbit gambar dapat menggunakan tanda tangan digital untuk menandatangani gambar, dengan tanda tangan disimpan di Container Registry. Anda dapat memverifikasi tanda tangan gambar untuk memastikan hanya gambar yang ditandatangani oleh otoritas tepercaya yang diterapkan. Ini mengurangi risiko eksekusi kode jahat dan memastikan keamanan serta jejak audit gambar kontainer dari rantai pasokan hingga penyebaran aplikasi. Untuk informasi lebih lanjut, lihat Gunakan kritis-validation-hook untuk memverifikasi tanda tangan gambar kontainer secara otomatis.
Rantai Pengiriman Aplikasi Cloud-Native
Container Registry menyediakan fitur rantai pengiriman aplikasi cloud-native, memungkinkan Anda mengembangkan aplikasi berbasis kontainer dengan keamanan dan efisiensi tinggi. Anda dapat menyederhanakan tugas-tugas seperti pembuatan gambar, pemindaian gambar, sinkronisasi gambar global, dan penyebaran gambar dalam rantai pengiriman. Anda juga dapat menyesuaikan kebijakan keamanan terperinci, sehingga seluruh siklus hidup pengembangan aplikasi menjadi aman, dapat diamati, dan dapat dilacak. Setelah menggunakan rantai pengiriman aplikasi cloud-native, Anda hanya perlu mengirimkan kode sekali untuk setiap aplikasi. Gambar tersebut didistribusikan dan diterapkan di semua wilayah di seluruh dunia dengan cara yang aman dan efisien. Ini memperbarui pipeline pengembangan dari DevOps ke DevSecOps. Untuk informasi lebih lanjut, lihat Buat rantai pengiriman.
Keamanan Infrastruktur
Keamanan Default
Dalam klaster ACK, keamanan node dan komponen pada bidang kontrol diperkuat berdasarkan fitur Penguatan Keamanan. Selain itu, konfigurasi semua komponen sistem diperkuat dengan mengikuti praktik terbaik keamanan ACK. Tidak ada gambar komponen yang berisi kerentanan kritis yang diidentifikasi oleh Common Vulnerabilities and Exposures (CVE).
Setiap klaster ACK yang baru dibuat diberi grup keamanan yang hanya mengizinkan paket Internet Control Message Protocol (ICMP) arah masuk dari Internet. Secara default, Anda tidak dapat terhubung ke klaster ACK menggunakan SSH melalui Internet. Untuk informasi lebih lanjut tentang cara terhubung ke klaster ACK menggunakan SSH melalui Internet, lihat Terhubung ke node master klaster ACK khusus menggunakan SSH.
Anda dapat mengaktifkan akses Internet untuk node dalam klaster ACK menggunakan gateway NAT, mengamankan akses Internet dan mengurangi risiko keamanan.
Node pekerja dalam klaster ACK yang dikelola diberi Peran RAM yang diotorisasi dengan mengikuti prinsip hak istimewa minimal. Peran RAM ini hanya memiliki izin minimum pada sumber daya Alibaba Cloud. Untuk informasi lebih lanjut, lihat [Perubahan Produk] ACK mengurangi izin peran RAM pekerja dalam klaster Kubernetes yang dikelola.
Manajemen Identitas
Komunikasi dan transmisi data antara semua komponen dalam klaster ACK diamankan menggunakan autentikasi berbasis TLS. Selain itu, ACK secara otomatis memperbarui sertifikat komponen sistem. Anda dapat masuk ke konsol ACK atau memanggil API ACK sebagai pengguna RAM atau dengan mengasumsikan peran RAM untuk mendapatkan file kubeconfig klaster yang ditentukan. Untuk informasi lebih lanjut, lihat Kueri file kubeconfig klaster. Kredensial klaster dikelola oleh ACK. Jika kredensial klaster dalam file kubeconfig yang dikembalikan bocor, Anda harus segera mencabut file kubeconfig tersebut. Untuk informasi lebih lanjut, lihat Cabut file kubeconfig klaster.
Saat membuat klaster ACK, Anda dapat mengaktifkan service account token volume projection. Fitur ini meningkatkan keamanan saat menggunakan akun layanan dalam aplikasi. Untuk informasi lebih lanjut, lihat Gunakan Proyeksi Volume Token ServiceAccount.
Kontrol Akses Terperinci
ACK menyediakan kontrol akses terperinci untuk sumber daya Kubernetes dalam klaster ACK berdasarkan kontrol akses berbasis peran (RBAC). Di halaman Authorizations di konsol ACK, Anda dapat memberikan izin terperinci namespace kepada pengguna RAM atau peran RAM. Metode otorisasi ini memberikan manfaat berikut:
Menyediakan peran RBAC yang telah ditentukan sebelumnya berikut: administrator, insinyur O&M, pengembang, dan pengguna terbatas, memungkinkan Anda dengan mudah memberikan izin kepada karyawan di departemen hierarkis suatu perusahaan.
Mengizinkan Anda memberikan izin pada beberapa klaster atau mengotorisasi beberapa pengguna RAM sekaligus.
Mengizinkan Anda mengotorisasi pengguna RAM untuk diasumsikan oleh peran RAM.
Mengizinkan Anda menetapkan peran klaster kustom.
Untuk informasi lebih lanjut, lihat Gunakan RBAC untuk mengelola izin operasi pada sumber daya dalam klaster.
Anda dapat menginstal komponen gatekeeper di halaman Add-ons di konsol ACK. Komponen ini menyediakan kontrol akses terperinci dengan menggunakan mesin kebijakan OPA. Untuk informasi lebih lanjut, lihat gatekeeper.
Audit
ACK terintegrasi secara mendalam dengan Layanan Log Sederhana, memungkinkan Anda mengumpulkan, mencari, dan memvisualisasikan jenis-jenis log audit berikut:
Log audit server API klaster. Jenis log audit ini mencatat operasi yang dilakukan oleh pengguna saat mereka mengakses klaster. Anda dapat memeriksa log audit untuk melacak setiap operasi, komponen kunci untuk memelihara klaster dengan cara yang aman. Di halaman Cluster Auditing, Anda dapat melihat berbagai laporan audit dan mengonfigurasi peringatan untuk operasi yang dilakukan pada jenis sumber daya tertentu berdasarkan isi log. Untuk informasi lebih lanjut, lihat Bekerja dengan audit klaster.
Log audit lalu lintas Ingress. Beberapa laporan lalu lintas visual disediakan untuk menunjukkan status Ingress dalam klaster, termasuk jumlah tampilan halaman (PV), pengunjung unik (UV), rasio keberhasilan dan kegagalan permintaan, serta latensi. Pengecualian juga dapat dideteksi secara otomatis dengan menggunakan algoritma pembelajaran mesin yang disediakan oleh Layanan Log Sederhana dan algoritma analisis deret waktu. Untuk informasi lebih lanjut, lihat Analisis dan pemantauan log akses nginx-ingress-controller.
Log audit pemantauan acara. Pemantauan acara mencatat acara klaster dalam log audit. Anda dapat mendiagnosis pengecualian dan risiko keamanan dalam klaster berdasarkan acara-acara ini. Untuk informasi lebih lanjut, lihat Pemantauan Acara.
Enkripsi Rahasia
Kubernetes Secrets dienkripsi dalam Base64 saat disimpan di etcd. Untuk lebih memperkuat keamanan Kubernetes Secrets yang disimpan, Anda dapat menggunakan kunci yang dibuat di Key Management Service (KMS) untuk mengenkripsi Secrets klaster ACK Pro. Untuk informasi lebih lanjut, lihat Gunakan KMS untuk mengenkripsi Kubernetes Secrets.