Kubernetes Best Practices

6. For administrators

@@ -25,4 +25,57 @@
     - Настройте container restart policy
     - Используйте отдельный network namespace для контейнеров
     - Не открывайте устройства с хоста напрямую в контейнер
-    - Проверьте настройки cgroups
+    - Проверьте настройки cgroups
+
+6.2 Kubernets
+    - K8s всегда должен быт обновлен до последней версии. Новые функции безопасности - а
+    не только исправления ошибок - добавляются в каждое ежеквартальное обновление, и чтобы
+    воспользоваться ими, мы важно использовать последнюю стабильную версию. Самое лучшее,
+    что можно сделать, - это запустить последнюю версию с самыми последними исправлениями,
+    особенно в свете открытия CVE-2018-1002105. Обновление и поддержка могут становиться все
+    труднее по мере усложнения архитектуры кластера и при обновления возможны остановки подов и
+    падения, поэтому планируйте обновление как минимум раз в квартал. Использование Kubernetes as
+    a service может сделать обновление очень простым.
+    - Необходимо использовать RBAC. Контролируйте, кто может получить доступ к API Kubernetes и какие
+    разрешения они имеют с помощью управления доступом на основе ролей (RBAC). RBAC обычно включается
+    по умолчанию в Kubernetes 1.6 и более поздних версиях (позже для некоторых управляемых провайдеров),
+    но если вы обновились с тех пор и не изменили свою конфигурацию, вам нужно будет дважды проверить
+    ваши настройки. Из-за способа объединения контроллеров авторизации Kubernetes необходимо включить
+    RBAC и отключить устаревшее управление доступом на основе атрибутов (ABAC). После применения RBAC вам
+    все равно нужно эффективно его использовать. Как правило, следует избегать общекластерных разрешений в
+    пользу разрешений, специфичных для пространства имен. Избегайте предоставления кому-либо привилегий
+    администратора кластера, даже для отладки - гораздо безопаснее предоставлять доступ только по мере
+    необходимости в каждом конкретном случае. Вы можете просмотреть роли и роли кластера,
+    используя `kubectl get clusterrolebinding` или` kubectl get rolebinding –all-namespaces`. Если вашему
+    приложению необходим доступ к API Kubernetes, создайте учетные записи служб индивидуально и предоставьте
+    им наименьший набор разрешений, необходимых для каждого сайта использования. Это лучше, чем предоставление
+    слишком широких разрешений учетной записи по умолчанию для пространства имен. Большинству приложений вообще
+    не нужен доступ к API; Для них можно установить «false» для automountServiceAccountToken.
+    - Выносите чувствительные процессы в отдельный namespace, чтобы ограничить потенциальное влияние компрометации.
+    Такой подход снижает риск доступа к чувствительному приложению через менее защищенное приложение, которое совместно
+    использует среду выполнения контейнера или хост. Например, учетные данные Kubelet скомпрометированного узла обычно
+    могут получить доступ к содержимому секретов, только если они используются подами, бегущими на данной ноде --
+    если поды с чувствительными секретами бегут на разных нодах кластера, у злоумышленника будет больше возможностей украсть их.
+    - Безопасно храните данные доступа. Чувствительные метаданные, такие как учетные данные администратора kubelet,
+    могут быть украдены или использованы не по назначению для повышения привилегий в кластере. Например, в недавнем
+    раскрытии информации о багах Shopify подробно рассказывалось о том, как пользователь смог повысить привилегии,
+    вызвав на микросервисе утечку информации из службы метаданных облачного провайдера. Функция сокрытия метаданных
+    в GKE изменяет механизм развертывания кластера, чтобы избежать этого, рекомендуется использовать его до тех пор,
+    пока он не будет заменен постоянным решением. Подобные контрмеры могут быть необходимы в других средах
+    - Создайте и настройте Network Policies. Сетевые политики позволяют вам контролировать доступ к сети внутрь и наружу для
+    ммикросервисов. Чтобы использовать их, вам необходимо убедиться, что у вас есть сетевой провайдер, который поддерживает
+    этот ресурс; с некоторыми управляемыми провайдерами Kubernetes, такими как Google Kubernetes Engine (GKE), вам нужно будет
+    вручную включить данную функциюю. (Для включения сетевых политик в GKE потребуется небольшое обновление,
+    если кластер уже создан). После того, как это будет сделано, начните с некоторой базовой сетевые политики по
+    умолчанию, например блокировка трафика из других пространств имен по умолчанию.
+    - Задайте Pod Security Policy для всего кластера. PSP устанавливает стандартные значения для микросервисов в кластере.
+    Подумайте об определении политики и включении Pod Security Policy - инструкции могут отличаться в зависимости от
+    вашего облачного провайдера или модели развертывания. Для начала можно отключить NET_RAW, чтобы заблокировать
+    определенные классы сетевых спуфинговых атак.
+    - Повысьте безопасность нод. Ограничте доступ к чувствительным портам, ткаим кака 10250 и 10255, минимизируйте
+    доступ к машинам.
+    - Включите журнал аудита. Многие облачные провайдеры предоставляют возможность настройк алертов при неудачных
+    попытках входа, желательно их влючить.
+    - Проведите бенчмарк. https://www.cisecurity.org/benchmark/kubernetes/
+    - Даже если вы не используете Rancher, почитайте инструкцию по харденингу https://rancher.com/docs/rancher/v2.x/en/security/hardening-2.2/
+    и бенчмаркингу https://releases.rancher.com/documents/security/latest/Rancher_Benchmark_Assessment.pdf