一旦容器被入侵,攻击者就可以获取到容器的权限,所以,容器运行过程中,我们首先需要考虑的是容器的权限问题。
在本节课程中,我们将重点介绍权限最小化以及如何使用SecurityContext来管理容器的权限。
在这个课程中,我们将学习以下内容:
-
权限最小化与SecurityContext:可以指定容器执行操作时使用的用户权限。
-
Privilege特权容器:可以赋予容器几乎等同于宿主机上的root权限。
-
Capabilities:细粒度权限控制。
-
Seccomp :限制容器的系统调用。
-
AppArmor:限制容器对资源的访问。
-
Pod Security Standards:一种更简单、标准化的方式来管理Pod的权限。
在攻防场景里,攻击者通过入侵容器获得初始访问权限,如果容器内的访问权限比较大,甚至可以访问宿主机资源,攻击者很容易逃逸到宿主机。为了减少潜在的安全风险,我们需要进行权限最小化,为容器分配尽可能少的权限,仅赋予执行操作所必需的权限。
K8s为我们提供了SecurityContext的安全机制,用于控制Pod或容器内的用户权限和访问控制设置,可以指定容器执行操作时使用的用户权限。
在本节视频中,我们将详细介绍了权限最小化与SecurityContext的概念, 了解privilege特权模式带来的安全风险,使用Capabilities来限制容器对宿主机特权的访问、使用seccomp来限制容器的系统调用、使用AppArmor来限制容器对资源的访问。最后,介绍Pod Security Standards来简化SecurityContext的配置。
了解更多详细内容,建议观看如下付费视频,预计时长14分钟。