推荐:Portieris - Kubernetes的图像安全策略控制器
在Kubernetes世界中,保证镜像的安全性是至关重要的。Portieris,由IBM开发的一个开源项目,正是一款针对这一需求而设计的Kubernetes准入控制插件,用于实施图像安全策略。它允许你在每个命名空间或集群级别定义安全策略,并对不同镜像执行不同的规则。
工作原理
Portieris通过一个Kubernetes的变异准入 webhook,在资源创建时修改你的工作负载,确保仅运行符合政策规定的镜像。如果配置了信任强制,Portieris可以启用Docker Content Trust,或者验证Red Hat的简单签名模型,防止未经验证或不受信任的镜像被使用。
如果云提供商提供了一个Notary服务器(也称为Content Trust),Portieris会从该服务器获取与部署的镜像对应的信任数据。对于Red Hat的简单签名,签名必须通过注册表扩展API或配置的签名存储库可访问。
当你创建或编辑工作负载时,Kubernetes API服务器向Portieris发送请求,其中包含了工作负载的内容。Portieris会对每个镜像找到匹配的安全策略。如果策略启用了信任强制,Portieris会从相应的Notary服务器拉取签名信息,如果存在已签署的镜像版本,将创建一个JSON补丁,以摘要形式编辑工作负载中的镜像名称。如果在策略中指定了签发者,Portieris还会检查该镜像是由指定的角色签署,并验证指定的密钥是否用于签署镜像。
对于简单的签名,Portieris会使用公共密钥和身份规则进行验证,如果验证成功,则会将镜像名更改为摘要引用,以防并行标签更改影响正在拉取的镜像。
如果任何工作负载中的镜像不满足策略,整个工作负载都将被阻止部署。
Portieris为所有类型的工作负载接收AdmissionRequests,但在有已知父级存在的情况下批准请求,以防止影响自动恢复。
Portieris的准入webhook配置为"故障关闭"模式。三个Portieris实例确保自身升级和自动恢复能够被批准。如果所有的Portieris实例都不可用,Kubernetes不会自动恢复它,你需要删除MutatingAdmissionWebhook以允许Portieris恢复。
图像变异选项
默认行为是在成功准入时变异镜像引用,使其通过哈希摘要而不是标签引用镜像,这样可以极大地减少在验证后镜像被替换的可能性。这种保护措施避免了在入场和镜像拉取之间的时间窗口以及因重新调度导致的镜像再次拉取期间,镜像在注册表中被更改。但如果你的闭循环部署技术依赖于比较运行中的镜像参考,并看到一个突变的镜像参考作为不同,可能会尝试修正这个差异,从而产生无效果的无限循环。在这种情况下,你可以通过在策略行为设置中指定mutateImage: false来避免这种情况,但这会牺牲安全保障,让入场后的镜像重新拉取可能存在未验证的情况。请注意,不要与trust要求一起使用此选项,因为notaryV1标签与注册表标签没有直接关联,即使在稳定状态(无注册表更改)下,也可能运行未经验证的镜像。
安装Portieris
Portieris通过Helm图表安装。首先确保你的集群运行的是Kubernetes 1.16及以上版本,你的工作站上安装了Helm 3.0及以上版本。
具体的安装步骤可以在项目文档中找到,包括在默认命名空间portieris中安装,或其他命名空间中的安装,以及如何使用cert-manager管理证书等。
卸载Portieris
卸载Portieris也会删除所有的图像安全策略。使用以下命令进行卸载:
helm delete portieris --namespace <namespace>
如果你想删除命名空间,请手动运行:
kubectl delete namespace/<namespace>
图像安全策略
图像安全策略定义了Portieris在你集群中的行为。为了使Portieris执行所需的安全立场,你需要自定义策略。详细的策略描述可在单独的文档中找到。
配置安全策略访问控制
你可以通过Kubernetes的基于角色的访问控制(RBAC)规则,定义哪些用户和应用程序可以修改你的安全策略。有关更多信息,请参阅Kubernetes文档和IBM Cloud Kubernetes Service文档中的“使用IAM和Kubernetes RBAC控制用户访问”。
如果Portieris安装时启用了AllowAdmissionSkip=true,你可以通过给命名空间添加标签securityenforcement.admission.cloud.ibm.com/namespace: skip,防止Portieris的准入webhook在此命名空间中调用,这使得该命名空间中的Pod在准入webhook失效时仍能恢复,但请注意,该命名空间内的所有策略都不会被执行。例如,Portieris的安装命名空间就配置了此标签,以便Portieris本身在出现故障时能够恢复。请确保控制谁可以添加命名空间标签以及谁可以访问带有此标签的命名空间,以防止恶意方利用此标签绕过Portieris。
报告安全问题
报告安全问题时,不要公开创建issue,而是通过电子邮件私下发送至alchreg@uk.ibm.com。
Portieris是一个强大且灵活的工具,它增强了Kubernetes的安全性,让你的集群在保障安全的同时,更好地实现自动化管理和部署。立即加入社区,体验这款强大的开源项目吧!
相关内容推荐
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。C050
MiniMax-M2.1从多语言软件开发自动化到复杂多步骤办公流程执行,MiniMax-M2.1 助力开发者构建下一代自主应用——全程保持完全透明、可控且易于获取。Python00
kylin-wayland-compositorkylin-wayland-compositor或kylin-wlcom(以下简称kywc)是一个基于wlroots编写的wayland合成器。 目前积极开发中,并作为默认显示服务器随openKylin系统发布。 该项目使用开源协议GPL-1.0-or-later,项目中来源于其他开源项目的文件或代码片段遵守原开源协议要求。C01
PaddleOCR-VLPaddleOCR-VL 是一款顶尖且资源高效的文档解析专用模型。其核心组件为 PaddleOCR-VL-0.9B,这是一款精简却功能强大的视觉语言模型(VLM)。该模型融合了 NaViT 风格的动态分辨率视觉编码器与 ERNIE-4.5-0.3B 语言模型,可实现精准的元素识别。Python00
GLM-4.7GLM-4.7上线并开源。新版本面向Coding场景强化了编码能力、长程任务规划与工具协同,并在多项主流公开基准测试中取得开源模型中的领先表现。 目前,GLM-4.7已通过BigModel.cn提供API,并在z.ai全栈开发模式中上线Skills模块,支持多模态任务的统一规划与协作。Jinja00
agent-studioopenJiuwen agent-studio提供零码、低码可视化开发和工作流编排,模型、知识库、插件等各资源管理能力TSX0126
Spark-Formalizer-X1-7BSpark-Formalizer 是由科大讯飞团队开发的专用大型语言模型,专注于数学自动形式化任务。该模型擅长将自然语言数学问题转化为精确的 Lean4 形式化语句,在形式化语句生成方面达到了业界领先水平。Python00
最新内容推荐
项目优选
kernel
docs
ops-math
pytorch
ohos_react_native
flutter_flutter
nop-entropykernel
RuoYi-Vue3community