Gunakan pemeriksaan konfigurasi untuk memeriksa konfigurasi keamanan beban kerja kluster - Container Service for Kubernetes

ACK menyediakan fitur pemeriksaan yang membantu Anda memindai risiko keamanan dalam konfigurasi beban kerja di kluster Anda. Setelah tugas pemeriksaan dijalankan, sistem akan menghasilkan laporan pemeriksaan. Berdasarkan laporan tersebut, Anda dapat melihat dan menangani item risiko untuk memantau status kesehatan beban kerja di kluster secara real-time.

Prasyarat

Versi kluster adalah v1.14 atau lebih baru. Untuk meningkatkan kluster, lihat Tingkatkan kluster secara manual.
Jika Anda menggunakan Pengguna RAM, pastikan Anda telah menyelesaikan otorisasi RAM dan otorisasi RBAC sebagaimana dijelaskan dalam bagian berikut.
- Otorisasi RAM
  Lengkapi otorisasi RAM pada halaman Configuration Inspection untuk memberikan izin kepada Pengguna RAM saat ini guna melakukan operasi pada halaman Configuration Inspection untuk kluster saat ini. Jika tidak, Pengguna RAM tidak dapat melakukan operasi pada halaman Configuration Inspection. Untuk informasi selengkapnya, lihat Gunakan RAM untuk memberikan izin akses ke kluster dan sumber daya cloud.
  Bentangkan untuk melihat kode otorisasi untuk pemeriksaan konfigurasi
```
{
  "Statement": [
    {
      "Action": [
        "cs:DescribePolarisConfig",
        "cs:DescribePolarisJob",
        "cs:DescribePolarisCronJob",
        "cs:UpdatePolarisJob",
        "cs:UpdatePolarisCronJob"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cs:*:*:cluster/<yourclusterID>"
      ]
    }
  ],
  "Version": "1"
}
```
  Untuk menggunakan fitur laporan pemeriksaan, Anda harus memberikan izin baca kepada Pengguna RAM pada proyek Simple Log Service tertentu yang digunakan oleh komponen pengumpulan log kluster saat ini. Hal ini memungkinkan Pengguna RAM untuk membaca data dalam proyek tersebut. Jika tidak, Anda tidak dapat melihat laporan pemeriksaan karena izin yang tidak mencukupi. Untuk informasi selengkapnya, lihat Contoh kebijakan RAM kustom.
  Bentangkan untuk melihat kode otorisasi untuk membaca log dari Simple Log Service
```
{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "log:Get*",
                "log:List*"
            ],
            "Resource": "acs:log:*:*:project/<Specified project name>/*",
            "Effect": "Allow"
        }
    ]
}
```
- Otorisasi RBAC
  Lengkapi otorisasi RBAC untuk sumber daya pada halaman Configuration Inspection. Berikan izin administrator kepada Pengguna RAM untuk kluster tertentu agar pengguna tersebut dapat mengelola sumber daya Kubernetes pada halaman Configuration Inspection. Untuk informasi selengkapnya, lihat Gunakan RBAC untuk memberikan izin mengelola sumber daya dalam kluster.

Lakukan pemeriksaan

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel kiri, pilih Security > Inspections.
Opsional: Instal dan perbarui komponen pemeriksaan sesuai petunjuk.
Komponen security-inspector tidak dikenai biaya tetapi mengonsumsi sumber daya Pod. Untuk informasi selengkapnya tentang komponen dan catatan perubahan (changelog)-nya, lihat security-inspector.
Lakukan pemeriksaan.
Penting
- Kami menyarankan Anda melakukan operasi pemeriksaan pada jam non-sibuk.
- Secara default, semua item yang didukung akan diperiksa. Di pojok kanan atas halaman Configuration Inspection, Anda dapat mengklik Inspection Configuration untuk mengonfigurasi item mana yang akan diperiksa. Untuk informasi selengkapnya, lihat Item pemeriksaan.
- Untuk menjalankan pemeriksaan segera, klik Inspect Now di pojok kanan atas halaman Configuration Inspection.
- Untuk melakukan pemeriksaan secara berkala, di pojok kanan atas halaman Configuration Inspection, klik Inspection Configuration. Lalu, pilih Periodic Inspection dan konfigurasikan siklus pemeriksaan.
Setelah pemeriksaan selesai, pada tab Inspection Details, temukan pemeriksaan yang diinginkan dan klik Details di kolom Actions.

Detail pemeriksaan

Halaman Inspection Details menampilkan hasil pemeriksaan terperinci untuk berbagai beban kerja dalam bentuk tabel. Halaman ini menyediakan fitur-fitur berikut:

Anda dapat memfilter beban kerja berdasarkan kriteria seperti Has Risks, Namespace, dan Workload Type untuk melihat jumlah Passed Items dan Risk Items.
Halaman ini menampilkan informasi terperinci tentang setiap item pemeriksaan, termasuk status pemeriksaan (Passed atau Failed) di tingkat Pod dan Kontainer, deskripsi rinci item pemeriksaan, serta saran pemulihan. Jika Anda tidak perlu menangani item pemeriksaan yang gagal, Anda dapat menambahkannya ke daftar putih.
Anda dapat melihat File YAML dari suatu beban kerja.

Laporan pemeriksaan

Halaman Inspection Reports menampilkan hasil pemindaian pemeriksaan terbaru. Halaman ini mencakup informasi berikut:

Tinjauan umum hasil pemindaian, termasuk jumlah total entri pemeriksaan, jumlah dan persentase setiap item sumber daya yang diperiksa, serta skor kesehatan keseluruhan.
Statistik untuk kategori hasil pemindaian utama, termasuk hasil untuk pemeriksaan kesehatan, citra, jaringan, sumber daya, dan keamanan.
Hasil pemindaian terperinci untuk setiap konfigurasi beban kerja, termasuk kategori sumber daya, nama sumber daya, namespace, jenis pemeriksaan, item pemeriksaan, dan hasil pemeriksaan.

Item pemeriksaan

Fitur pemeriksaan konfigurasi memindai dan menampilkan hasil pemindaian untuk item pemeriksaan berikut.

ID Item Pemeriksaan	Item Pemeriksaan	Konten Pemeriksaan dan Risiko Keamanan Potensial	Saran Pemulihan
hostNetworkSet	Nonaktifkan berbagi namespace jaringan antara kontainer dan host	Memeriksa apakah spesifikasi Pod dari beban kerja berisi pengaturan `hostNetwork: true`. Pengaturan ini memungkinkan Pod menggunakan namespace jaringan host. Jika ditentukan, kontainer dalam Pod dapat menyerang jaringan host dan mengendus transfer data pada jaringan host.	Ubah spesifikasi Pod untuk menghapus bidang `hostNetwork`. Contoh:
hostIPCSet	Nonaktifkan berbagi namespace IPC antara kontainer dan host	Memeriksa apakah spesifikasi Pod dari beban kerja berisi pengaturan `hostIPC: true`. Pengaturan ini memungkinkan Pod menggunakan namespace komunikasi antar-proses (IPC) host. Jika ditentukan, kontainer dalam Pod dapat menyerang proses host dan mengendus data proses.	Ubah spesifikasi Pod untuk menghapus bidang `hostIPC`. Contoh:
hostPIDSet	Nonaktifkan berbagi namespace PID antara kontainer dan host	Memeriksa apakah spesifikasi Pod dari beban kerja berisi pengaturan `hostPID: true`. Pengaturan ini memungkinkan Pod menggunakan namespace ID proses (PID) host. Jika ditentukan, kontainer dalam Pod dapat menyerang proses host dan mengumpulkan data proses.	Ubah spesifikasi Pod untuk menghapus bidang `hostPID`. Contoh:
hostPortSet	Cegah proses dalam kontainer mendengarkan pada port host	Memeriksa apakah spesifikasi Pod dari beban kerja berisi bidang hostPort. Bidang ini memetakan port pendengar Pod ke port host. Jika bidang `hostPort` ditentukan, port host mungkin ditempati tanpa otorisasi dan port kontainer mungkin menerima permintaan yang tidak diharapkan.	Ubah spesifikasi Pod untuk menghapus bidang `hostPort`. Contoh:
runAsRootAllowed	Nonaktifkan startup kontainer sebagai pengguna root	Memeriksa apakah spesifikasi Pod dari beban kerja tidak memiliki pengaturan `runAsNonRoot: true`. Pengaturan ini mencegah kontainer dalam Pod berjalan sebagai pengguna root. Jika tidak ditentukan, proses berbahaya dalam kontainer dapat mengompromikan aplikasi, host, atau bahkan seluruh kluster Anda.	Ubah spesifikasi Pod untuk menambahkan `runAsNonRoot: true`. Contoh:
runAsPrivileged	Nonaktifkan startup kontainer dalam mode istimewa	Memeriksa apakah spesifikasi Pod dari beban kerja berisi pengaturan `privileged: true`. Pengaturan ini memungkinkan kontainer dalam Pod berjalan dalam mode istimewa. Jika ditentukan, proses berbahaya dalam kontainer dapat mengompromikan aplikasi, host, atau bahkan kluster Anda.	Ubah spesifikasi Pod untuk menghapus bidang `privileged`. Contoh:
privilegeEscalationAllowed	Nonaktifkan peningkatan hak istimewa untuk proses anak dalam kontainer	Memeriksa apakah spesifikasi Pod dari beban kerja tidak memiliki pengaturan `allowPrivilegeEscalation: false`. Pengaturan ini mencegah proses anak dari kontainer memperoleh hak istimewa yang lebih tinggi daripada proses induk. Jika tidak ditentukan, proses berbahaya dalam kontainer dapat memperoleh hak istimewa yang ditingkatkan dan melakukan operasi yang tidak sah.	Ubah spesifikasi Pod untuk menambahkan bidang `allowPrivilegeEscalation: false`. Contoh:
capabilitiesAdded	Nonaktifkan Linux Capabilities yang tidak perlu	Memeriksa bidang `capabilities` dalam spesifikasi Pod dari beban kerja untuk menentukan apakah proses dalam kontainer diberikan kemampuan Linux istimewa, seperti SYS_ADMIN, NET_ADMIN, dan ALL. Jika kemampuan ini diberikan, proses berbahaya dalam kontainer dapat menggunakan hak istimewa ini untuk mengompromikan aplikasi Anda atau merusak komponen dan kluster.	Ubah spesifikasi Pod untuk hanya menambahkan kemampuan Linux yang diperlukan dan hapus yang tidak perlu. Jika tidak diperlukan kemampuan Linux tambahan, hapus semuanya. Contoh: Hanya tambahkan kemampuan Linux yang diperlukan dan hapus semua yang tidak perlu. Contoh:
notReadOnlyRootFileSystem	Aktifkan mode read-only untuk sistem file dalam kontainer	Memeriksa apakah spesifikasi Pod dari beban kerja tidak memiliki pengaturan `readOnlyRootFilesystem: true`. Pengaturan ini membuat sistem file root dalam kontainer menjadi read-only. Jika tidak ditentukan, proses berbahaya dalam kontainer dapat memodifikasi file sistem.	Ubah spesifikasi Pod untuk menambahkan readOnlyRootFilesystem: true. Untuk memodifikasi file dalam direktori tertentu, Anda dapat menggunakan `volumeMounts`. Contoh: Untuk memodifikasi file dalam direktori, gunakan bidang `volumeMounts`. Contoh:
cpuRequestsMissing	Tetapkan sumber daya CPU minimum untuk menjalankan kontainer	Memeriksa apakah spesifikasi Pod dari beban kerja tidak memiliki bidang `resources.requests.cpu`. Bidang ini menentukan sumber daya CPU minimum yang diperlukan untuk menjalankan setiap kontainer. Jika tidak ditentukan, Pod mungkin dijadwalkan ke node yang memiliki sumber daya CPU tidak mencukupi, yang dapat menyebabkan proses dalam kontainer berjalan lambat.	Ubah spesifikasi Pod untuk menambahkan bidang `resources.requests.cpu`. Contoh:
cpuLimitsMissing	Tetapkan sumber daya CPU maksimum untuk menjalankan kontainer	Memeriksa apakah spesifikasi Pod dari beban kerja tidak memiliki bidang `resources.limits.cpu`. Bidang ini menentukan sumber daya CPU maksimum yang dapat digunakan oleh setiap kontainer. Jika tidak ditentukan, proses abnormal dalam kontainer dapat mengonsumsi sejumlah besar sumber daya node, atau bahkan menghabiskan sumber daya seluruh node atau kluster.	Ubah spesifikasi Pod untuk menambahkan bidang `resources.limits.cpu`. Contoh:
memoryRequestsMissing	Tetapkan sumber daya memori minimum untuk menjalankan kontainer	Memeriksa apakah spesifikasi Pod dari beban kerja tidak memiliki bidang `resources.requests.memory`. Bidang ini menentukan sumber daya memori minimum yang diperlukan untuk menjalankan setiap kontainer. Jika tidak ditentukan, Pod mungkin dijadwalkan ke node yang memiliki sumber daya memori tidak mencukupi. Akibatnya, proses dalam kontainer mungkin dihentikan karena kesalahan kehabisan memori (OOM).	Ubah spesifikasi Pod untuk menambahkan bidang `resources.requests.memory`. Contoh:
memoryLimitsMissing	Tetapkan sumber daya memori maksimum untuk menjalankan kontainer	Memeriksa apakah spesifikasi Pod dari beban kerja tidak memiliki bidang `resources.limits.memory`. Bidang ini menentukan sumber daya memori maksimum yang dapat digunakan oleh setiap kontainer. Jika tidak ditentukan, proses abnormal dalam kontainer dapat mengonsumsi sejumlah besar sumber daya node, atau bahkan menghabiskan sumber daya seluruh node atau kluster.	Ubah spesifikasi Pod untuk menambahkan bidang `resources.limits.memory`. Contoh:
readinessProbeMissing	Konfigurasikan Pemeriksaan kesiapan kontainer	Memeriksa apakah spesifikasi Pod dari beban kerja tidak memiliki bidang `readinessProbe`. Pemeriksaan kesiapan memeriksa apakah aplikasi dalam kontainer siap memproses permintaan. Jika tidak ditentukan, permintaan mungkin dikirim ke kontainer meskipun aplikasinya abnormal dan tidak dapat memprosesnya. Hal ini dapat menyebabkan pengecualian layanan.	Ubah spesifikasi Pod untuk menambahkan bidang `readinessProbe`. Contoh:
livenessProbeMissing	Konfigurasikan Pemeriksaan kelangsungan hidup kontainer	Memeriksa apakah spesifikasi Pod dari beban kerja tidak memiliki bidang `livenessProbe`. Pemeriksaan kelangsungan hidup memeriksa apakah kontainer perlu dimulai ulang untuk menyelesaikan pengecualian aplikasi. Jika tidak ditentukan, kontainer mungkin tidak dimulai ulang tepat waktu ketika terjadi pengecualian aplikasi yang hanya dapat diselesaikan dengan memulai ulang. Hal ini dapat menyebabkan pengecualian layanan.	Ubah spesifikasi Pod untuk menambahkan bidang `livenessProbe`. Contoh:
tagNotSpecified	Tentukan tag citra untuk kontainer	Memeriksa apakah bidang image dalam spesifikasi Pod dari beban kerja tidak memiliki tag citra tertentu atau menggunakan tag `latest`. Jika tag tertentu tidak digunakan, versi citra kontainer yang tidak diharapkan mungkin dijalankan, yang dapat menyebabkan pengecualian layanan.	Ubah bidang image dalam spesifikasi Pod untuk menggunakan tag citra tertentu alih-alih tag `latest`. Contoh:
anonymousUserRBACBinding	Larang akses anonim ke kluster	Memeriksa binding RBAC di kluster untuk mengidentifikasi item konfigurasi yang memberikan izin akses kepada pengguna anonim. Jika pengguna anonim diizinkan mengakses sumber daya kluster, pengguna berbahaya dapat mencuri informasi sensitif tentang kluster, atau menyerang dan mengompromikan kluster.	Sesuai kebutuhan, ubah binding RBAC yang dipindai dan hapus item konfigurasi izin yang mengizinkan pengguna anonim mengakses sumber daya kluster. Contoh:

Peristiwa

Jenis event	Nama event	Contoh konten event	Deskripsi event	Operasi
Normal	SecurityInspectorConfigAuditStart	Start to running config audit	Sistem mulai menjalankan tugas pemeriksaan.	Tidak diperlukan operasi.
Normal	SecurityInspectorConfigAuditFinished	Finished running once config audit	Tugas pemeriksaan selesai.	Tidak diperlukan operasi.
Warning	SecurityInspectorConfigAuditHighRiskFound	2 high risks have been found after running config audit	Setelah pemeriksaan selesai, beberapa beban kerja ditemukan memiliki item pemeriksaan risiko tinggi yang belum ditangani.	Pada tab Inspection Details halaman Configuration Inspection kluster, lihat hasil pemeriksaan terperinci. Filter beban kerja yang memiliki risiko berdasarkan Has Risks, Namespace, dan Workload Type sesuai kebutuhan. Klik Details untuk melihat hasil pemeriksaan setiap item pemeriksaan dalam beban kerja. Untuk item pemeriksaan yang Anda pastikan tidak perlu diperbaiki, klik Add To Whitelist untuk menambahkan item pemeriksaan ke daftar putih. Untuk item pemeriksaan yang Anda pastikan perlu diperbaiki, klik Details dan perbaiki item tersebut berdasarkan saran penguatan.