Перейти до вмісту
GitHub

Модуль 3.6: Основи безпеки (Теорія)

Складність: [QUICK] - Лише основи

Час на виконання: 15-20 хвилин

Передумови: Модулі 3.1–3.5 (Хмарна нативна архітектура)

Що ви зможете робити

Розділ «Що ви зможете робити»

Після завершення цього модуля ви зможете:

  • Пояснити ключові концепції безпеки Kubernetes: RBAC, NetworkPolicy, Secret та Pod Security Standards
  • Визначити типові помилки конфігурації безпеки, що призводять до реальних порушень
  • Порівняти автентифікацію, авторизацію та контроль допуску як рівні безпеки API
  • Оцінити чи відповідає дана конфігурація кластера найкращим практикам безпеки

Огляд

Розділ «Огляд»
  • Ідентифікація та дозволи (хто може робити що)
  • Довіра до того, що ви запускаєте (образи та маніфести)
  • Сигнали безпеки на рівні Pod
  • Ментальна модель: безпека — це серія воріт — пропуск (RBAC), перевірка багажу (довіра до образів) та пасок безпеки (безпека Pod).
  • Швидка перевірка: “Чи було б мені комфортно запустити цей Pod на своєму ноутбуці?”

Ідентифікація та доступ

Розділ «Ідентифікація та доступ»
  • Субʼєкти: Користувачі, групи та service accounts (SA).
  • RBAC: Ролі визначають дієслова для ресурсів; RoleBinding/ClusterRoleBinding привʼязують їх до субʼєктів.
  • Принцип: Мінімальні привілеї — SA для навантажень, ролі з обмеженою областю для просторів імен, уникайте використання типового SA.
# Мінімальний приклад Role + Binding (в межах простору імен)
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-config
rules:
- apiGroups: [""]
  resources: ["configmaps","secrets"]
  verbs: ["get","list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: bind-read-config
subjects:
- kind: ServiceAccount
  name: app
roleRef:
  kind: Role
  name: read-config
  apiGroup: rbac.authorization.k8s.io

Довіра до образів

Розділ «Довіра до образів»
  • Надавайте перевагу дайджестам замість тегів для незмінності.
  • Скануйте образи та перевіряйте базові образи; уникайте запуску від root де можливо.
  • Походження/підписання образів (концептуально): переконайтесь, що образи надходять з вашого пайплайну збірки.
3 ВОРОТА
[Пропуск]  RBAC дозволяє лише правильним людям/Podʼам.
[Багаж]    Походження/сканування образів блокує отруєні образи.
[Пасок]    Безпека Pod обмежує радіус ураження під час виконання.

Основи безпеки Pod

Розділ «Основи безпеки Pod»
  • Безпека Pod (концепція): Обмежте привілейований режим, host networking, hostPath монтування та небезпечні capabilities.
  • Ідентифікація під час виконання: Кожен Pod використовує свій SA токен для API викликів — привʼязуйте лише те, що потрібно.
  • Мережевий обсяг (високий рівень): NetworkPolicies можуть обмежувати, які Podʼи/сервіси можуть комунікувати.

Очікування KCNA: Знайте, що ці важелі існують і чому вони важливі; глибоке зміцнення безпеки — для сертифікацій вищого рівня.

Аналогія: Вхід до безпечної будівлі — пропуск на дверях (RBAC), перевірка багажу (походження образів), пристебніться всередині (безпека Pod). Кожен шар ловить різні ризики.

Контрольний список червоних прапорців: Запуск від root, RBAC з підстановками (* дієслова), hostPath монтування, теги :latest та публічні реєстри без сканування.