Konfigurasikan kebijakan keamanan pod berbasis Gatekeeper - Container Service for Kubernetes

Kami merekomendasikan Anda mengaktifkan fitur tata kelola kebijakan untuk memenuhi persyaratan kepatuhan dan meningkatkan keamanan kluster. Fitur ini menyediakan kebijakan keamanan yang sesuai untuk skenario Kubernetes, termasuk Infra (sumber daya infrastruktur), Compliance (kepatuhan keamanan Kubernetes), PSP (ekstensi berbasis PodSecurityPolicy), dan K8s-general (kebijakan serbaguna). Anda dapat mengaktifkan atau menyesuaikan kebijakan keamanan untuk aplikasi terkontainer di konsol Container Service for Kubernetes (ACK) guna memverifikasi keamanan penyebaran dan pembaruan pod.

Pengenalan tata kelola kebijakan

PSP ditandai sebagai Deprecated di Kubernetes 1.21 dan versi selanjutnya. Oleh karena itu, ACK mengoptimalkan fitur tata kelola kebijakan berbasis PSP. ACK menggunakan OPA sebagai controller admission Gatekeeper untuk memperluas fitur seperti pemantauan status tata kelola kebijakan, pengumpulan log, dan pengambilan log. Selain itu, berbagai pustaka kebijakan disediakan agar Anda dapat menggunakan lebih banyak kebijakan keamanan yang ditujukan untuk skenario Kubernetes. Anda dapat langsung mengonfigurasi kebijakan keamanan di konsol, yang sangat menyederhanakan konfigurasi tata kelola kebijakan.

Prasyarat

Kluster menjalankan Kubernetes 1.16 atau yang lebih baru. Untuk informasi lebih lanjut tentang cara memperbarui kluster ACK, lihat Memperbarui Kluster ACK Secara Manual.
Saat Anda mengelola kebijakan keamanan sebagai Pengguna Resource Access Management (RAM), pastikan bahwa pengguna RAM diberikan izin berikut:
- cs:DescribePolicies: menanyakan kebijakan.
- cs:DescribePoliceDetails: menanyakan informasi tentang suatu kebijakan.
- cs:DescribePolicyGovernanceInCluster: menanyakan informasi tentang kebijakan dalam kluster.
- cs:DescribePolicyInstances: menanyakan instance kebijakan yang diterapkan dalam kluster.
- cs:DescribePolicyInstancesStatus: menanyakan informasi tentang instance kebijakan dalam kluster.
- cs:DeployPolicyInstance: menerapkan instance kebijakan dalam kluster.
- cs:DeletePolicyInstance: menghapus instance kebijakan dalam kluster.
- cs:ModifyPolicyInstance: memodifikasi instance kebijakan dalam kluster.
Untuk informasi lebih lanjut tentang cara membuat kebijakan RAM kustom, lihat Buat Kebijakan RAM Kustom.

Catatan penggunaan

Fitur tata kelola kebijakan hanya berlaku untuk node Linux.
Kebijakan kustom tidak didukung. Semua kebijakan berasal dari pustaka kebijakan bawaan ACK.

Langkah 1: Instal atau perbarui komponen tata kelola kebijakan

Masuk ke konsol ACK. Di panel navigasi sisi kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel sisi kiri, pilih Security > Policy Governance.
Di halaman Policy Governance, ikuti petunjuk di layar untuk menginstal atau memperbarui komponen.
Untuk mengaktifkan tata kelola kebijakan, Anda harus menginstal komponen berikut: Komponen-komponen ini gratis tetapi mengonsumsi sumber daya pod Anda.
- gatekeeper: sebuah controller admission Kubernetes berbasis OPA. Anda dapat menggunakan komponen ini untuk mengelola dan menggunakan kebijakan keamanan yang dieksekusi oleh OPA di kluster ACK. Ini memungkinkan Anda mengelola label namespace.
  Catatan
  Anda hanya dapat menggunakan komponen gatekeeper yang disediakan oleh ACK. Jika Anda menggunakan komponen gatekeeper yang tidak disediakan oleh ACK, hapus instalannya lalu pasang komponen yang disediakan oleh ACK. Untuk informasi lebih lanjut tentang catatan rilis untuk komponen gatekeeper, lihat gatekeeper.
- alibaba-log-controller: Komponen ini dapat digunakan untuk mengumpulkan dan mengambil peristiwa pemblokiran atau peringatan yang dihasilkan karena masalah kepatuhan kebijakan keamanan.
- policy-template-controller: sebuah controller Kubernetes yang dikembangkan berdasarkan template kebijakan keamanan Alibaba Cloud. Anda dapat menggunakan komponen ini untuk mengelola status kluster ACK dan instance kebijakan yang diterapkan dari berbagai template kebijakan.

Langkah 2: Bekerja dengan fitur tata kelola kebijakan

Platform

Masuk ke konsol ACK. Di panel navigasi sisi kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel sisi kiri, pilih Security > Policy Governance.
Di halaman Policy Governance, ikuti petunjuk di layar untuk menginstal atau memperbarui komponen, lalu lakukan operasi berikut sesuai kebutuhan.

Lihat informasi tentang kebijakan keamanan di kluster saat ini

Anda dapat mengklik tab Overview untuk melihat informasi tentang kebijakan keamanan di kluster saat ini.

Ikhtisar kebijakan keamanan di kluster, termasuk jumlah kebijakan berisiko tinggi, kebijakan berisiko tinggi yang diaktifkan, kebijakan berisiko sedang, dan kebijakan berisiko sedang yang diaktifkan. Kebijakan keamanan yang sistem sarankan untuk Anda aktifkan juga tercantum.
Jumlah peristiwa pemblokiran dan peringatan yang dihasilkan dalam tujuh hari terakhir.
Catatan dari 100 peristiwa terbaru yang dihasilkan dalam 7 hari terakhir. Untuk melihat lebih banyak informasi tentang log audit, klik ikon di sebelah Actions within Last 7 Days. Di tooltip yang muncul, klik hyperlink untuk pergi ke halaman detail Logstore di konsol Layanan Log. Anda dapat melihat log yang disimpan di Logstore.

Buat dan kelola instance kebijakan

Klik tab My Policies. Lalu, klik Create Policy Instance dan konfigurasikan parameter di kotak dialog Create Policy Instance.

Parameter	Deskripsi
Policy Type	Pilih jenis kebijakan. Nilai valid: Infra: Kebijakan jenis ini digunakan untuk menegakkan kontrol keamanan pada sumber daya infrastruktur. Compliance: Kebijakan jenis ini disesuaikan berdasarkan standar kepatuhan Kubernetes, seperti Pengerasan Keamanan Kubernetes Alibaba Cloud. PSP: Kebijakan jenis ini digunakan untuk menggantikan sumber daya PSP. K8s-general: Kebijakan jenis ini digunakan untuk menegakkan kontrol keamanan pada sumber daya Kubernetes berdasarkan standar praktik terbaik keamanan Alibaba Cloud. Untuk informasi lebih lanjut, lihat Kebijakan keamanan yang telah ditentukan sebelumnya dari ACK.
Policy Name	Pilih nama kebijakan dari daftar drop-down.
Action	Blokir: memblokir penyebaran sumber daya yang sesuai dengan kebijakan. Peringatan: menghasilkan peringatan untuk penyebaran sumber daya yang sesuai dengan kebijakan. Penyebaran sumber daya masih dapat dilakukan.
Applicable Scope	Pilih namespace tempat Anda ingin menerapkan instance kebijakan.
Parameters	Jika editor kosong, itu menunjukkan bahwa tidak ada parameter yang diperlukan untuk kebijakan tersebut. Jika parameter ditampilkan di editor, atur parameter berdasarkan deskripsi.

Lihat kebijakan dan instance kebijakan di kluster saat ini

Klik tab My Policies untuk melihat semua kebijakan di kluster saat ini.

Anda dapat mengklik kondisi filter di pojok kanan atas daftar untuk menyaring kebijakan. Kebijakan yang diaktifkan ditampilkan di bagian atas daftar. Kolom Instance menampilkan jumlah instance kebijakan yang diterapkan untuk setiap kebijakan.

Jika jumlah instance kebijakan adalah nol, kebijakan yang bersangkutan belum diterapkan di kluster. Anda dapat mengklik Enable di kolom Actions kebijakan untuk mengonfigurasi dan menerapkan instance kebijakan.

策略规则说明

Untuk memodifikasi konfigurasi instance kebijakan, klik Modify di kolom Actions.
Jika lebih dari satu instance kebijakan diterapkan untuk suatu kebijakan, Anda dapat mengklik View Instances di kolom Actions dan klik Modify untuk memodifikasi konfigurasi.
Klik Delete di kolom Actions untuk menghapus semua instance kebijakan yang diterapkan untuk suatu kebijakan.

Untuk informasi lebih lanjut tentang kebijakan keamanan dan template mereka, lihat Kebijakan Keamanan yang Telah Ditentukan Sebelumnya dari ACK.

Operasi terkait: Aktifkan perlindungan penghapusan untuk namespace atau Service

Setelah Anda mengaktifkan fitur tata kelola kebijakan dengan melakukan Langkah 1: Instal atau Perbarui Komponen Tata Kelola Kebijakan, Anda juga dapat mengaktifkan perlindungan penghapusan untuk namespace atau Service yang melibatkan data bisnis kritis dan sensitif untuk menghindari biaya pemeliharaan yang disebabkan oleh penghapusan namespace atau Service secara tidak sengaja. Setelah Anda mengaktifkan perlindungan penghapusan, sumber daya tersebut hanya dapat dihapus setelah Anda menonaktifkan perlindungan penghapusan secara manual.

Isi berikut ini menjelaskan cara mengaktifkan perlindungan penghapusan untuk namespace dan Service yang sudah ada. Anda juga dapat pergi ke halaman yang sesuai di konsol dan mengikuti petunjuk di layar untuk mengaktifkan perlindungan penghapusan untuk sumber daya lainnya.

Aktifkan Perlindungan Penghapusan untuk Namespace yang Sudah Ada
1. Masuk ke konsol ACK. Di panel navigasi sisi kiri, klik Clusters.
2. Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel navigasi sisi kiri, klik Namespaces and Quotas.
3. Di halaman Namespace, temukan namespace yang ingin Anda kelola dan klik Edit di kolom Actions. Di kotak dialog yang muncul, aktifkan perlindungan penghapusan.
Aktifkan Perlindungan Penghapusan untuk Service yang Sudah Ada
1. Masuk ke konsol ACK. Di panel navigasi sisi kiri, klik Clusters.
2. Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel sisi kiri, pilih Network > Services.
3. Di halaman Service, temukan Service yang ingin Anda kelola dan pilih Enable Deletion Protection di kolom Actions. Di kotak dialog yang muncul, aktifkan perlindungan penghapusan sesuai petunjuk.

Referensi

Anda dapat mengonfigurasi inspeksi kluster untuk mengidentifikasi risiko keamanan potensial dalam konfigurasi beban kerja di kluster Anda. Untuk informasi lebih lanjut, lihat Gunakan Fitur Inspeksi untuk Mendeteksi Risiko Keamanan dalam Beban Kerja Kluster ACK.