Periksa beban kerja pada kluster terdaftar untuk risiko keamanan - Container Service for Kubernetes

Container Service for Kubernetes (ACK) menyediakan fitur inspeksi yang membantu mendeteksi risiko keamanan dalam beban kerja kluster ACK. Setelah kluster ACK menyelesaikan tugas inspeksi, laporan inspeksi dihasilkan. Anda dapat melihat dan menangani item inspeksi yang gagal dalam laporan tersebut untuk memahami status kesehatan real-time kluster.

Prasyarat

Kluster Kubernetes eksternal telah didaftarkan di Konsol Container Service for Kubernetes (ACK). Untuk informasi lebih lanjut, lihat Buat Kluster Terdaftar ACK One.
Logtail telah diinstal. Untuk informasi lebih lanjut, lihat Langkah 2: Instal logtail-ds.

Lakukan tugas inspeksi

Masuk ke Konsol ACK. Di panel navigasi sebelah kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel sebelah kiri, pilih Security > Inspections.
Opsional: Instal dan perbarui komponen security-inspector.
Komponen security-inspector gratis tetapi menggunakan sumber daya pod. Untuk informasi lebih lanjut tentang pengenalan dan catatan rilis komponen security-inspector, lihat security-inspector.
Lakukan tugas inspeksi.
Penting
- Disarankan untuk menjalankan tugas inspeksi selama jam-jam sepi.
- Secara default, semua item inspeksi diaktifkan untuk tugas inspeksi. Di sudut kanan atas halaman Inspections, klik Configure Periodic Inspection. Di panel yang muncul, Anda dapat mengonfigurasi item inspeksi untuk tugas inspeksi. Untuk informasi lebih lanjut, lihat Item Inspeksi.
- Segera jalankan tugas inspeksi: Di sudut kanan atas halaman Inspections, klik Inspect.
- Jalankan tugas inspeksi secara berkala: Di sudut kanan atas halaman Inspections, klik Configure Periodic Inspection. Kemudian, pilih Configure Periodic Inspection dan konfigurasikan siklus inspeksi.
Setelah tugas inspeksi selesai, buka tab Inspections, temukan hasil inspeksi, lalu klik Details di kolom Actions.

Detail Inspeksi

Halaman Inspections menyediakan tabel untuk menampilkan hasil inspeksi dari berbagai beban kerja. Fitur-fitur berikut disediakan untuk menampilkan hasil inspeksi:

Menyaring hasil inspeksi berdasarkan kondisi seperti Passed or Failed, Namespace, dan Workload Type. Menampilkan nilai dari Number of Passed Items dan Number of Failed Items untuk setiap beban kerja yang diperiksa.
Menampilkan informasi detail tentang setiap item inspeksi pada halaman detail inspeksi, termasuk item inspeksi yang lulus dan gagal dari setiap pod dan kontainer, deskripsi setiap item inspeksi, serta saran untuk penguatan keamanan. Untuk mengabaikan item inspeksi yang gagal, tambahkan mereka ke daftar putih.
Lihat file YAML dari beban kerja.

Item Inspeksi

Tabel berikut menjelaskan item inspeksi.

ID Item Inspeksi	Item Inspeksi	Konten Inspeksi dan potensi risiko keamanan	Saran
hostNetworkSet	Nonaktifkan berbagi namespace jaringan antara kontainer dan host	Memeriksa apakah spesifikasi pod dari beban kerja berisi pengaturan `hostNetwork: true`. Pengaturan ini menentukan bahwa pod menggunakan namespace jaringan dari host. Jika pengaturan hostNetwork:true ditentukan, jaringan host mungkin diserang oleh kontainer dalam pod dan transfer data dalam jaringan host mungkin disadap.	Hapus bidang `hostNetwork` dari spesifikasi pod. Contoh:
hostIPCSet	Nonaktifkan berbagi namespace IPC antara kontainer dan host	Memeriksa apakah spesifikasi pod dari beban kerja berisi pengaturan `hostIPC: true`. Pengaturan ini menentukan bahwa pod menggunakan namespace komunikasi antar-proses (IPC) dari host. Jika pengaturan hostIPC:true ditentukan, kontainer dalam pod mungkin menyerang proses host dan menyadap data proses.	Hapus bidang `hostIPC` dari spesifikasi pod. Contoh:
hostPIDSet	Nonaktifkan berbagi namespace PID antara kontainer dan host	Memeriksa apakah spesifikasi pod dari beban kerja berisi pengaturan `hostPID: true`. Pengaturan ini menentukan bahwa pod menggunakan namespace ID proses (PID) dari host. Jika pengaturan hostPID: true ditentukan, kontainer dalam pod mungkin menyerang proses host dan mengumpulkan data proses.	Hapus bidang `hostPID` dari spesifikasi pod. Contoh:
hostPortSet	Cegah proses dalam kontainer mendengarkan port host	Memeriksa apakah spesifikasi pod dari beban kerja berisi bidang `hostPort`. Bidang ini menentukan port host ke mana port mendengarkan pod dipetakan. Jika bidang hostPort ditentukan, port host yang ditentukan mungkin digunakan tanpa otorisasi dan port kontainer mungkin menerima permintaan tak terduga.	Hapus bidang `hostPort` dari spesifikasi pod. Contoh:
runAsRootAllowed	Nonaktifkan startup kontainer sebagai pengguna root	Memeriksa apakah spesifikasi pod dari beban kerja berisi pengaturan `runAsNonRoot: true`. Pengaturan ini menentukan bahwa kontainer dalam pod tidak diizinkan berjalan sebagai pengguna root. Jika pengaturan runAsNonRoot: true tidak ditentukan, proses jahat dalam kontainer mungkin menyusup ke aplikasi, host, atau kluster Anda.	Tambahkan pengaturan `runAsNonRoot: true` ke spesifikasi pod. Contoh:
runAsPrivileged	Nonaktifkan startup kontainer dalam mode istimewa	Memeriksa apakah spesifikasi pod dari beban kerja berisi pengaturan `privileged: true`. Pengaturan ini menentukan bahwa kontainer dalam pod diizinkan berjalan dalam mode istimewa. Jika pengaturan privileged: true ditentukan, proses jahat dalam kontainer mungkin menyusup ke aplikasi, host, atau kluster Anda.	Hapus bidang `privileged` dari spesifikasi pod. Contoh:
privilegeEscalationAllowed	Nonaktifkan peningkatan hak istimewa untuk proses anak dalam kontainer	Memeriksa apakah spesifikasi pod dari beban kerja berisi pengaturan `allowPrivilegeEscalation: false`. Pengaturan ini menentukan bahwa proses anak dari kontainer tidak dapat diberikan hak istimewa lebih tinggi daripada proses induk. Jika pengaturan allowPrivilegeEscalation:false tidak ditentukan, proses jahat dalam kontainer mungkin diberikan hak istimewa yang meningkat dan melakukan operasi tanpa izin.	Tambahkan pengaturan `allowPrivilegeEscalation: false` ke spesifikasi pod. Contoh:
capabilitiesAdded	Nonaktifkan kemampuan Linux yang tidak diperlukan	Memeriksa apakah spesifikasi pod dari beban kerja berisi bidang `capabilities`. Bidang ini digunakan untuk mengaktifkan kemampuan Linux untuk proses dalam kontainer. Kemampuan tersebut mencakup SYS_ADMIN, NET_ADMIN, dan ALL. Jika bidang capabilities ditentukan, proses jahat dalam kontainer mungkin menyusup ke aplikasi, komponen kluster, atau kluster Anda.	Ubah spesifikasi pod untuk mempertahankan hanya kemampuan Linux yang diperlukan dan hapus kemampuan lainnya. Ubah spesifikasi pod untuk mempertahankan hanya kemampuan Linux yang diperlukan dan hapus kemampuan lainnya. Jika proses dalam kontainer tidak memerlukan kemampuan Linux, hapus semua kemampuan Linux. Contoh: Jika proses dalam kontainer memerlukan kemampuan Linux, tentukan hanya kemampuan Linux yang diperlukan dan hapus kemampuan lainnya. Contoh:
notReadOnlyRootFileSystem	Aktifkan mode baca-saja untuk sistem file dalam kontainer	Memeriksa apakah spesifikasi pod dari beban kerja berisi pengaturan `readOnlyRootFilesystem: true`. Pengaturan ini menentukan bahwa sistem file root yang dipasang ke kontainer bersifat baca-saja. Jika pengaturan readOnlyRootFilesystem: true tidak ditentukan, proses jahat dalam kontainer mungkin memodifikasi sistem file root.	Tambahkan pengaturan `readOnlyRootFilesystem: true` ke spesifikasi pod. Jika Anda ingin memodifikasi file dalam direktori tertentu, atur bidang volumeMounts dalam spesifikasi pod. Contoh: Jika Anda ingin memodifikasi file dalam direktori tertentu, atur bidang `volumeMounts` dalam spesifikasi pod. Contoh:
cpuRequestsMissing	Tetapkan penggunaan minimum sumber daya CPU yang tersedia untuk menjalankan kontainer	Memeriksa apakah spesifikasi pod dari beban kerja berisi bidang `resources.requests.cpu`. Bidang ini menentukan sumber daya CPU minimum yang diperlukan untuk menjalankan setiap kontainer. Jika bidang resources.requests.cpu tidak ditentukan, pod mungkin dijadwalkan ke node yang memiliki sumber daya CPU tidak mencukupi. Ini dapat menyebabkan proses lambat.	Tambahkan bidang `resources.requests.cpu` ke spesifikasi pod. Contoh:
cpuLimitsMissing	Tetapkan jumlah maksimum sumber daya CPU yang tersedia untuk menjalankan kontainer	Memeriksa apakah spesifikasi pod dari beban kerja berisi bidang `resources.limits.cpu`. Bidang ini menentukan jumlah maksimum sumber daya CPU yang dapat digunakan oleh setiap kontainer. Jika bidang resources.limits.cpu tidak ditentukan, proses abnormal dalam kontainer mungkin mengonsumsi jumlah sumber daya CPU yang berlebihan atau menghabiskan sumber daya CPU dari node atau kluster.	Tambahkan bidang `resources.limits.cpu` ke spesifikasi pod. Contoh:
memoryRequestsMissing	Tetapkan sumber daya memori minimum yang tersedia untuk menjalankan kontainer	Memeriksa apakah spesifikasi pod dari beban kerja berisi bidang `resources.requests.memory`. Bidang ini menentukan sumber daya memori minimum yang diperlukan untuk menjalankan setiap kontainer. Jika bidang resources.requests.memory tidak ditentukan, pod mungkin dijadwalkan ke node yang memiliki sumber daya memori tidak mencukupi. Akibatnya, proses dalam kontainer mungkin dihentikan ketika Out of Memory (OOM) killer dipicu.	Tambahkan bidang `resources.requests.memory` ke spesifikasi pod. Contoh:
memoryLimitsMissing	Tetapkan sumber daya memori maksimum yang tersedia untuk menjalankan kontainer	Memeriksa apakah spesifikasi pod dari beban kerja berisi bidang `resources.limits.memory`. Bidang ini menentukan jumlah maksimum sumber daya memori yang dapat digunakan oleh setiap kontainer. Jika bidang resources.limits.memory tidak ditentukan, proses abnormal dalam kontainer mungkin mengonsumsi jumlah sumber daya memori yang berlebihan atau menghabiskan sumber daya memori dari node atau kluster.	Tambahkan bidang `resources.limits.memory` ke spesifikasi pod. Contoh:
readinessProbeMissing	Konfigurasikan probe kesiapan kontainer	Memeriksa apakah spesifikasi pod dari beban kerja berisi bidang `readinessProbe`. Bidang ini menentukan apakah probe kesiapan dikonfigurasikan untuk kontainer. Probe kesiapan digunakan untuk memeriksa apakah aplikasi dalam kontainer siap untuk memproses permintaan. Jika bidang readinessProbe tidak ditentukan, pengecualian layanan mungkin terjadi ketika permintaan dikirim ke aplikasi yang belum siap untuk memproses permintaan.	Tambahkan bidang `readinessProbe` ke spesifikasi pod. Contoh:
livenessProbeMissing	Konfigurasikan probe kelangsungan hidup kontainer	Memeriksa apakah spesifikasi pod dari beban kerja berisi bidang `livenessProbe`. Bidang ini menentukan apakah probe kelangsungan hidup dikonfigurasikan untuk kontainer. Probe kelangsungan hidup digunakan untuk memeriksa apakah restart kontainer diperlukan untuk menyelesaikan pengecualian aplikasi. Jika bidang livenessProbe tidak ditentukan, layanan mungkin terganggu ketika pengecualian aplikasi hanya dapat diselesaikan dengan me-restart kontainer.	Tambahkan bidang `livenessProbe` ke spesifikasi pod. Contoh:
tagNotSpecified	Tentukan versi gambar untuk kontainer	Memeriksa apakah bidang `image` dalam spesifikasi pod dari beban kerja menentukan versi gambar atau apakah nilai bidang tersebut diatur ke latest. Jika tidak ada versi gambar yang ditentukan atau nilai bidang diatur ke latest, layanan mungkin terganggu ketika kontainer menggunakan versi gambar yang salah.	Ubah bidang `image` dalam spesifikasi pod dengan menentukan versi gambar. Atur bidang tersebut ke nilai selain latest. Contoh:
anonymousUserRBACBinding	Larang Akses Anonim ke Kluster	Memeriksa pengikatan peran RBAC dalam kluster dan mengidentifikasi konfigurasi yang mengizinkan akses dari pengguna anonim. Jika pengguna anonim diizinkan mengakses kluster, mereka mungkin mendapatkan akses ke informasi sensitif, menyerang kluster, dan menyusup ke kluster.	Hapus konfigurasi yang mengizinkan akses dari pengguna anonim dari pengikatan peran RBAC. Contoh: