Konfigurasikan kebijakan keamanan pod berbasis Gatekeeper - Container Compute Service

Gatekeeper menggunakan Open Policy Agent (OPA) sebagai pengontrol penerimaan untuk menegakkan kebijakan keamanan yang sesuai dengan skenario Kubernetes. Setelah komponen Gatekeeper diperkenalkan dalam klaster Container Service for Kubernetes (ACK), Anda dapat mengaktifkan atau menyesuaikan kebijakan keamanan di konsol ACK untuk memverifikasi keamanan penyebaran dan pembaruan pod.

Pengenalan tata kelola kebijakan

PodSecurityPolicy (PSP) ditandai sebagai Deprecated di Kubernetes 1.21 dan versi selanjutnya. Oleh karena itu, ACK mengoptimalkan fitur tata kelola kebijakan berbasis PSP. ACK menggunakan OPA sebagai pengontrol penerimaan Gatekeeper untuk memperluas fitur terkait pemantauan status tata kelola kebijakan, pengumpulan log, dan pengambilan log. Selain itu, berbagai macam pustaka kebijakan disediakan untuk memungkinkan Anda menggunakan lebih banyak kebijakan keamanan yang sesuai dengan skenario Kubernetes. Anda dapat langsung mengonfigurasi kebijakan keamanan di konsol, yang sangat menyederhanakan konfigurasi tata kelola kebijakan.

Prasyarat

Sebuah klaster ACK dikelola atau klaster ACK khusus telah dibuat dan klaster tersebut menjalankan Kubernetes 1.16 atau versi lebih baru. Untuk informasi lebih lanjut, lihat Buat klaster ACK khusus atau Buat klaster ACK dikelola. Untuk informasi lebih lanjut tentang cara memperbarui klaster ACK, lihat Perbarui klaster ACK.
Saat mengelola kebijakan keamanan sebagai Pengguna Resource Access Management (RAM), pastikan bahwa pengguna RAM diberikan izin berikut:
- cs:DescribePolicies: menanyakan kebijakan.
- cs:DescribePoliceDetails: menanyakan informasi tentang sebuah kebijakan.
- cs:DescribePolicyGovernanceInCluster: menanyakan informasi tentang kebijakan dalam sebuah klaster.
- cs:DescribePolicyInstances: menanyakan instance kebijakan yang diterapkan dalam sebuah klaster.
- cs:DescribePolicyInstancesStatus: menanyakan informasi tentang instance kebijakan dalam sebuah klaster.
- cs:DeployPolicyInstance: menerapkan instance kebijakan dalam sebuah klaster.
- cs:DeletePolicyInstance: menghapus instance kebijakan dalam sebuah klaster.
- cs:ModifyPolicyInstance: memodifikasi instance kebijakan dalam sebuah klaster.
Untuk informasi lebih lanjut tentang cara membuat kebijakan RAM kustom, lihat Buat kebijakan RAM kustom.

Pertimbangan

Fitur tata kelola kebijakan hanya berlaku untuk node Linux.
Fitur tata kelola kebijakan tidak memungkinkan Anda mengonfigurasi kebijakan kustom. Anda hanya dapat menggunakan kebijakan yang telah ditentukan sebelumnya oleh ACK.

Langkah 1: Instal atau perbarui komponen tata kelola kebijakan

Untuk mengaktifkan fitur tata kelola kebijakan, Anda perlu menginstal komponen berikut:

gatekeeper: pengontrol penerimaan Kubernetes berbasis OPA. Komponen ini digunakan untuk mengelola dan menegakkan kebijakan keamanan yang dieksekusi oleh OPA dalam klaster ACK serta mengelola label namespace.
Catatan
Anda hanya dapat menggunakan komponen gatekeeper yang disediakan oleh ACK. Jika Anda menggunakan komponen gatekeeper yang tidak disediakan oleh ACK, hapus instalannya dan kemudian instal komponen yang disediakan oleh ACK. Untuk informasi lebih lanjut tentang catatan rilis untuk komponen gatekeeper, lihat gatekeeper.
logtail-ds: komponen log. Komponen ini digunakan untuk mengumpulkan dan mengambil peristiwa pemblokiran atau peringatan yang dihasilkan karena masalah kepatuhan kebijakan keamanan.
policy-template-controller: pengontrol Kubernetes yang dikembangkan berdasarkan template kebijakan keamanan Alibaba Cloud. Komponen ini digunakan untuk mengelola status klaster ACK dan instance kebijakan yang diterapkan dari berbagai template kebijakan.

Masuk ke konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.
Di halaman Clusters, temukan klaster yang Anda inginkan dan klik namanya. Di panel di sebelah kiri, pilih Security > Policy Governance.
Di halaman Policy Governance, ikuti petunjuk di layar untuk menginstal atau memperbarui komponen.

Langkah 2: Bekerja dengan fitur tata kelola kebijakan

Platform

Masuk ke konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.
Di halaman Clusters, temukan klaster yang Anda inginkan dan klik namanya. Di panel di sebelah kiri, pilih Security > Policy Governance.
Di halaman Policy Governance, ikuti petunjuk di layar untuk menginstal atau memperbarui komponen, lalu lakukan operasi berikut sesuai kebutuhan.

Lihat informasi tentang kebijakan keamanan di klaster saat ini

Anda dapat mengklik tab Overview untuk melihat informasi tentang kebijakan keamanan di klaster saat ini.

Ikhtisar kebijakan keamanan di klaster, termasuk jumlah kebijakan risiko tinggi, kebijakan risiko tinggi yang diaktifkan, kebijakan risiko sedang, dan kebijakan risiko sedang yang diaktifkan. Kebijakan keamanan yang sistem sarankan untuk Anda aktifkan juga terdaftar.
Jumlah peristiwa pemblokiran dan peringatan yang dihasilkan dalam tujuh hari terakhir.
Catatan penegakan kebijakan dalam tujuh hari terakhir. Secara default, tabel menampilkan 100 peristiwa pemblokiran atau peringatan terbaru dalam tujuh hari terakhir. Untuk melihat lebih banyak peristiwa, arahkan pointer ke ikon di sebelah Actions within Last 7 Days dan klik hyperlink Layanan Log Sederhana di pesan pop-up untuk masuk ke konsol Layanan Log Sederhana dan melihat semua log di penyimpanan log yang sesuai.

Buat dan kelola instance kebijakan

Klik tab My Policies. Lalu, klik Create Policy Instance dan konfigurasikan parameter di kotak dialog Create Policy Instance.

Parameter	Deskripsi
Policy Type	Pilih jenis kebijakan. Nilai valid: Infra: Kebijakan jenis ini digunakan untuk menegakkan kontrol keamanan pada sumber daya infrastruktur. Compliance: Kebijakan jenis ini digunakan untuk memastikan kepatuhan keamanan Kubernetes dengan garis dasar keamanan yang ditentukan oleh fitur penguatan keamanan seperti Penguatan Keamanan Kubernetes Alibaba Cloud. PSP: Kebijakan jenis ini digunakan untuk menggantikan sumber daya PSP. K8s-general: Kebijakan jenis ini digunakan untuk menegakkan kontrol keamanan pada sumber daya Kubernetes berdasarkan standar praktik terbaik keamanan Alibaba Cloud.
Action	Block: memblokir penyebaran sumber daya yang cocok dengan kebijakan. Alert: menghasilkan peringatan untuk penyebaran sumber daya yang cocok dengan kebijakan. Penyebaran sumber daya masih dapat dilakukan.
Policy Name	Pilih nama kebijakan dari daftar drop-down.
Applicable Scope	Pilih namespace tempat Anda ingin menerapkan instance kebijakan.
Parameters	Jika editor kosong, itu menunjukkan bahwa tidak ada parameter yang diperlukan untuk kebijakan. Jika parameter ditampilkan di editor, atur parameter berdasarkan deskripsi.

Lihat kebijakan dan instance kebijakan di klaster saat ini

Klik tab My Policies untuk melihat semua kebijakan di klaster saat ini.

Anda dapat mengklik kondisi filter di pojok kanan atas daftar untuk menyaring kebijakan. Kebijakan yang diaktifkan ditampilkan di bagian atas daftar. Kolom Instance menampilkan jumlah instance kebijakan yang diterapkan untuk setiap kebijakan.

Jika jumlah instance kebijakan adalah nol, kebijakan yang sesuai tidak diterapkan di klaster. Anda dapat mengklik Enable di kolom Actions kebijakan untuk mengonfigurasi dan menerapkan instance kebijakan. 策略规则说明

Untuk memodifikasi konfigurasi instance kebijakan, klik Modify di kolom Actions.
Jika lebih dari satu instance kebijakan diterapkan untuk sebuah kebijakan, Anda dapat mengklik View Instances di kolom Actions dan klik Modify untuk memodifikasi konfigurasi.
Untuk menghapus semua instance kebijakan yang diterapkan untuk sebuah kebijakan, klik Delete di kolom Actions.

Untuk informasi lebih lanjut tentang kebijakan keamanan dan template mereka, lihat Kebijakan keamanan yang telah ditentukan sebelumnya oleh ACK.

Referensi

Untuk informasi lebih lanjut tentang kebijakan keamanan yang telah ditentukan sebelumnya yang didukung oleh tata kelola kebijakan, termasuk Compliance, Infra, K8s-general, dan PSP, lihat Kebijakan keamanan yang telah ditentukan sebelumnya oleh ACK.
Anda dapat mengonfigurasi inspeksi klaster untuk mengidentifikasi risiko keamanan potensial dalam konfigurasi beban kerja di klaster Anda. Untuk informasi lebih lanjut, lihat Gunakan fitur inspeksi untuk mendeteksi risiko keamanan dalam beban kerja klaster ACK.