🥇Seccomp in Kubernetes: 7 lietas, kas jāzina jau no paša sākuma

Piezīme. tulk.: Jūsu uzmanībai piedāvājam Lielbritānijas uzņēmuma ASOS.com vecākā lietojumprogrammu drošības inženiera raksta tulkojumu. Ar to viņš sāk publikāciju sēriju, kas veltīta Kubernetes drošības uzlabošanai, izmantojot seccomp. Ja lasītājiem patiks ievads, mēs sekosim autoram un turpināsim ar viņa turpmākajiem materiāliem par šo tēmu.

Šis raksts ir pirmais no ziņu sērijas par to, kā izveidot seccomp profilus SecDevOps garā, neizmantojot maģiju un burvestības. XNUMX. daļā es apskatīšu pamatus un iekšējo informāciju par seccomp ieviešanu Kubernetes.

Kubernetes ekosistēma piedāvā dažādus veidus, kā nostiprināt un izolēt konteinerus. Raksts ir par drošo skaitļošanas režīmu, kas pazīstams arī kā seccomp. Tās būtība ir filtrēt izpildei pieejamos sistēmas zvanus pēc konteineriem.

Kāpēc tas ir svarīgi? Konteiners ir tikai process, kas darbojas noteiktā mašīnā. Un tas izmanto kodolu tāpat kā citas lietojumprogrammas. Ja konteineri varētu veikt jebkādus sistēmas izsaukumus, ļoti drīz ļaunprātīga programmatūra to izmantotu, lai apietu konteineru izolāciju un ietekmētu citas lietojumprogrammas: pārtvertu informāciju, mainītu sistēmas iestatījumus utt.

seccomp profili nosaka, kuri sistēmas izsaukumi ir jāatļauj vai jāatspējo. Konteinera izpildlaiks tos aktivizē, kad tas sākas, lai kodols varētu pārraudzīt to izpildi. Izmantojot šādus profilus, varat ierobežot uzbrukuma vektoru un samazināt bojājumus, ja kāda programma konteinerā (tas ir, jūsu atkarības vai to atkarības) sāk darīt kaut ko tādu, kas tai nav atļauts.

Pamatu izpratne

Pamata seccomp profils ietver trīs elementus: defaultAction, architectures (Vai archMap) Un syscalls:

{
    "defaultAction": "SCMP_ACT_ERRNO",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "sched_yield",
                "futex",
                "write",
                "mmap",
                "exit_group",
                "madvise",
                "rt_sigprocmask",
                "getpid",
                "gettid",
                "tgkill",
                "rt_sigaction",
                "read",
                "getpgrp"
            ],
            "action": "SCMP_ACT_ALLOW"
        }
    ]
}

(medium-basic-seccomp.json)

defaultAction nosaka jebkura sistēmas izsaukuma noklusējuma likteni, kas nav norādīts sadaļā syscalls. Lai lietas būtu vieglākas, pievērsīsimies divām galvenajām vērtībām, kas tiks izmantotas:

SCMP_ACT_ERRNO — bloķē sistēmas izsaukuma izpildi,
SCMP_ACT_ALLOW - ļauj.

Iedaļā architectures ir norādītas mērķa arhitektūras. Tas ir svarīgi, jo pats filtrs, kas tiek lietots kodola līmenī, ir atkarīgs no sistēmas izsaukuma identifikatoriem, nevis no profilā norādītajiem to nosaukumiem. Pirms lietošanas konteinera izpildlaiks tos saskaņos ar identifikatoriem. Ideja ir tāda, ka sistēmas zvaniem var būt pilnīgi atšķirīgi ID atkarībā no sistēmas arhitektūras. Piemēram, sistēmas izsaukums recvfrom (izmanto, lai saņemtu informāciju no ligzdas) ir ID = 64 x64 sistēmās un ID = 517 x86. Šeit jūs varat atrast sarakstu ar visiem sistēmas izsaukumiem x86-x64 arhitektūrām.

Sadaļā syscalls uzskaita visus sistēmas zvanus un norāda, ko ar tiem darīt. Piemēram, iestatot, varat izveidot balto sarakstu defaultAction par SCMP_ACT_ERRNO, un zvani sadaļā syscalls piešķirt SCMP_ACT_ALLOW. Tādējādi jūs atļaujat tikai sadaļā norādītos zvanus syscalls, un aizliegt visus citus. Melnajā sarakstā ir jāmaina vērtības defaultAction un darbības uz pretējo.

Tagad mums vajadzētu teikt dažus vārdus par niansēm, kas nav tik acīmredzamas. Lūdzu, ņemiet vērā, ka tālāk sniegtajos ieteikumos tiek pieņemts, ka vietnē Kubernetes izvietojat biznesa lietojumprogrammu līniju un vēlaties, lai tās darbotos ar iespējami mazākām privilēģijām.

1. AllowPrivilegeEscalation=false

В securityContext konteineram ir parametrs AllowPrivilegeEscalation. Ja tas ir instalēts false, konteineri sāksies ar (on) mazliet no_new_priv. Šī parametra nozīme ir acīmredzama no nosaukuma: tas neļauj konteineram palaist jaunus procesus ar vairāk privilēģijām, nekā tas pats ir.

Šīs opcijas iestatīšanas blakusefekts true (noklusējums) ir tas, ka konteinera izpildlaiks lieto seccomp profilu startēšanas procesa pašā sākumā. Tādējādi profilā ir jāiespējo visi sistēmas izsaukumi, kas nepieciešami iekšējo izpildlaika procesu palaišanai (piemēram, lietotāja/grupas ID iestatīšana, noteiktu iespēju atmešana).

Uz konteineru, kas dara sīkas lietas echo hi, būs nepieciešamas šādas atļaujas:

{
    "defaultAction": "SCMP_ACT_ERRNO",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "brk",
                "capget",
                "capset",
                "chdir",
                "close",
                "execve",
                "exit_group",
                "fstat",
                "fstatfs",
                "futex",
                "getdents64",
                "getppid",
                "lstat",
                "mprotect",
                "nanosleep",
                "newfstatat",
                "openat",
                "prctl",
                "read",
                "rt_sigaction",
                "statfs",
                "setgid",
                "setgroups",
                "setuid",
                "stat",
                "uname",
                "write"
            ],
            "action": "SCMP_ACT_ALLOW"
        }
    ]
}

(hi-pod-seccomp.json)

...šo vietā:

{
    "defaultAction": "SCMP_ACT_ERRNO",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "brk",
                "close",
                "execve",
                "exit_group",
                "futex",
                "mprotect",
                "nanosleep",
                "stat",
                "write"
            ],
            "action": "SCMP_ACT_ALLOW"
        }
    ]
}

(hi-container-seccomp.json)

Bet atkal, kāpēc tā ir problēma? Personīgi es izvairītos no šādu sistēmas izsaukumu iekļaušanas baltajā sarakstā (ja vien tie nav reālas vajadzības): capset, set_tid_address, setgid, setgroups и setuid. Tomēr patiesais izaicinājums ir tāds, ka, atļaujot procesus, kurus jūs absolūti nevarat kontrolēt, jūs saistāt profilus ar konteinera izpildlaika ieviešanu. Citiem vārdiem sakot, kādu dienu jūs varat atklāt, ka pēc konteinera izpildlaika vides atjaunināšanas (jūs vai, visticamāk, mākoņpakalpojuma sniedzējs), konteineri pēkšņi pārstāj darboties.

Padoms # 1: Palaist konteinerus ar AllowPrivilegeEscaltion=false. Tas samazinās seccomp profilu lielumu un padarīs tos mazāk jutīgus pret izmaiņām konteinera izpildlaika vidē.

2. Seccomp profilu iestatīšana konteinera līmenī

seccomp profilu var iestatīt pod līmenī:

annotations:
  seccomp.security.alpha.kubernetes.io/pod: "localhost/profile.json"

...vai konteinera līmenī:

annotations:
  container.security.alpha.kubernetes.io/<container-name>: "localhost/profile.json"

Lūdzu, ņemiet vērā, ka iepriekš minētā sintakse mainīsies, kad Kubernetes seccomp kļūs par GA (šis notikums gaidāms nākamajā Kubernetes izlaidumā - 1.18 - apm. tulk.).

Tikai daži cilvēki zina, ka Kubernetes vienmēr ir bijis kļūdakas izraisīja seccomp profilu lietošanu pauzes konteiners. Izpildlaika vide daļēji kompensē šo trūkumu, taču šis konteiners nepazūd no podiem, jo tiek izmantots to infrastruktūras konfigurēšanai.

Problēma ir tā, ka šis konteiners vienmēr sākas ar AllowPrivilegeEscalation=true, kas rada 1. punktā minētās problēmas, un to nevar mainīt.

Izmantojot seccomp profilus konteinera līmenī, jūs izvairīsities no šīs kļūmes un varat izveidot profilu, kas ir pielāgots konkrētam konteineram. Tas būs jādara, līdz izstrādātāji novērsīs kļūdu un jaunā versija (varbūt 1.18?) kļūs pieejama visiem.

Padoms # 2: iestatiet seccomp profilus konteinera līmenī.

Praktiskā nozīmē šis noteikums parasti kalpo kā universāla atbilde uz jautājumu: “Kāpēc mans seccomp profils darbojas ar docker runbet nedarbojas pēc izvietošanas Kubernetes klasterī?

3. Izmantojiet izpildlaiku/noklusējumu tikai kā pēdējo līdzekli

Kubernetes ir divas iespējas iebūvētajiem profiliem: runtime/default и docker/default. Abus ievieš konteinera izpildlaiks, nevis Kubernetes. Tāpēc tie var atšķirties atkarībā no izmantotās izpildlaika vides un tās versijas.

Citiem vārdiem sakot, izpildlaika maiņas rezultātā konteineram var būt piekļuve citai sistēmas zvanu kopai, ko tas var izmantot vai neizmantot. Lielākā daļa izpildlaiku izmanto Docker ieviešana. Ja vēlaties izmantot šo profilu, lūdzu, pārliecinieties, ka tas jums ir piemērots.

profils docker/default ir novecojis kopš Kubernetes 1.11, tāpēc izvairieties to izmantot.

Manuprāt, profils runtime/default lieliski piemērots mērķim, kuram tā tika izveidota: lietotāju aizsardzībai no riskiem, kas saistīti ar komandas izpildi docker run uz viņu automašīnām. Tomēr, runājot par biznesa lietojumprogrammām, kas darbojas Kubernetes klasteros, es uzdrošinos iebilst, ka šāds profils ir pārāk atvērts un izstrādātājiem vajadzētu koncentrēties uz profilu izveidi savām lietojumprogrammām (vai lietojumprogrammu veidiem).

Padoms # 3: izveidojiet seccomp profilus noteiktām lietojumprogrammām. Ja tas nav iespējams, izveidojiet profilus lietojumprogrammu veidiem, piemēram, izveidojiet papildu profilu, kas ietver visas Golang lietojumprogrammas tīmekļa API. Izmantojiet izpildlaiku/noklusējumu tikai kā pēdējo līdzekli.

Nākamajos rakstos es apskatīšu, kā izveidot SecDevOps iedvesmotus seccomp profilus, automatizēt tos un pārbaudīt tos konveijerā. Citiem vārdiem sakot, jums nebūs attaisnojuma nejaunināt uz lietojumprogrammu profiliem.

4. Neierobežots NAV risinājums.

No pirmais Kubernetes drošības audits izrādījās, ka pēc noklusējuma seccomp atspējota. Tas nozīmē, ka, ja neesat iestatījis PodSecurityPolicy, kas to iespējos klasterī, darbosies visi podi, kuriem seccomp profils nav definēts seccomp=unconfined.

Darbošanās šajā režīmā nozīmē, ka tiek zaudēts viss izolācijas slānis, kas aizsargā kopu. Šo pieeju drošības speciālisti neiesaka.

Padoms # 4: nevienam klastera konteineram nevajadzētu darboties seccomp=unconfined, īpaši ražošanas vidēs.

5. "Audita režīms"

Šis punkts nav unikāls Kubernetes, taču joprojām ietilpst kategorijā “lietas, kas jāzina pirms darba sākšanas”.

Kā tas notiek, seccomp profilu izveide vienmēr ir bijusi sarežģīta un lielā mērā ir atkarīga no izmēģinājumiem un kļūdām. Fakts ir tāds, ka lietotājiem vienkārši nav iespējas tos pārbaudīt ražošanas vidēs, neriskējot “nomest” lietojumprogrammu.

Pēc Linux kodola 4.14 izlaišanas kļuva iespējams palaist profila daļas audita režīmā, ierakstot informāciju par visiem sistēmas izsaukumiem syslog, bet nebloķējot tos. Šo režīmu var aktivizēt, izmantojot parametru SCMT_ACT_LOG:

SCMP_ACT_LOG: seccomp neietekmēs pavedienu, kas veic sistēmas izsaukumu, ja tas neatbilst nevienam filtra noteikumam, taču informācija par sistēmas zvanu tiks reģistrēta.

Šeit ir tipiska šīs funkcijas izmantošanas stratēģija:

Atļaut sistēmas zvanus, kas nepieciešami.
Bloķējiet zvanus no sistēmas, par kuriem jūs zināt, ka tie nebūs noderīgi.
Reģistrēt informāciju par visiem citiem zvaniem žurnālā.

Vienkāršots piemērs izskatās šādi:

{
    "defaultAction": "SCMP_ACT_LOG",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "sched_yield",
                "futex",
                "write",
                "mmap",
                "exit_group",
                "madvise",
                "rt_sigprocmask",
                "getpid",
                "gettid",
                "tgkill",
                "rt_sigaction",
                "read",
                "getpgrp"
            ],
            "action": "SCMP_ACT_ALLOW"
        },
        {
            "names": [
                "add_key",
                "keyctl",
                "ptrace"
            ],
            "action": "SCMP_ACT_ERRNO"
        }
    ]
}

(medium-mixed-seccomp.json)

Taču atcerieties, ka jums ir jābloķē visi zvani, par kuriem jūs zināt, ka tie netiks izmantoti un kas varētu kaitēt klasterim. Labs pamats saraksta sastādīšanai ir oficiālais Docker dokumentācija. Tajā ir detalizēti paskaidrots, kuri sistēmas zvani noklusējuma profilā ir bloķēti un kāpēc.

Tomēr ir viens āķis. Lai gan SCMT_ACT_LOG Kopš 2017. gada beigām to atbalsta Linux kodols, tas Kubernetes ekosistēmā ienāca tikai salīdzinoši nesen. Tāpēc, lai izmantotu šo metodi, jums būs nepieciešams Linux kodols 4.14 un runC versija, kas nav zemāka v1.0.0-rc9.

Padoms # 5: Audita režīma profilu testēšanai ražošanā var izveidot, apvienojot melnos un baltos sarakstus, un visus izņēmumus var reģistrēt.

6. Izmantojiet baltos sarakstus

Baltā saraksta izveide prasa papildu pūles, jo jums ir jāidentificē katrs lietojumprogrammai nepieciešamais zvans, taču šī pieeja ievērojami uzlabo drošību:

Ir ļoti ieteicams izmantot baltā saraksta pieeju, jo tā ir vienkāršāka un uzticamāka. Melnais saraksts būs jāatjaunina ikreiz, kad tiek pievienots potenciāli bīstams sistēmas izsaukums (vai bīstams karodziņš/opcija, ja tas ir melnajā sarakstā). Turklāt bieži vien ir iespējams mainīt parametra attēlojumu, nemainot tā būtību un tādējādi apiet melnā saraksta ierobežojumus.

Go lietojumprogrammām es izstrādāju īpašu rīku, kas tiek pievienots lietojumprogrammai un apkopo visus izpildes laikā veiktos zvanus. Piemēram, šādai lietojumprogrammai:

package main

import "fmt"

func main() {
	fmt.Println("test")
}

... sāksim gosystract tā:

go install https://github.com/pjbgf/gosystract
gosystract --template='{{- range . }}{{printf ""%s",n" .Name}}{{- end}}' application-path

... un mēs iegūstam šādu rezultātu:

"sched_yield",
"futex",
"write",
"mmap",
"exit_group",
"madvise",
"rt_sigprocmask",
"getpid",
"gettid",
"tgkill",
"rt_sigaction",
"read",
"getpgrp",
"arch_prctl",

Pagaidām šis ir tikai piemērs — sīkāka informācija par rīkiem sekos.

Padoms # 6: Atļaujiet tikai tos zvanus, kas jums patiešām ir nepieciešami, un bloķējiet visus pārējos.

7. Ielieciet pareizos pamatus (vai sagatavojieties negaidītai uzvedībai)

Kodols ieviesīs profilu neatkarīgi no tā, ko jūs tajā ierakstāt. Pat ja tas nav tieši tas, ko jūs gribējāt. Piemēram, ja bloķējat piekļuvi tādiem zvaniem kā exit vai exit_group, konteiners nevarēs pareizi izslēgties un pat vienkārša komanda, piemēram, echo hi pakārt viņuo uz nenoteiktu laiku. Rezultātā jūs saņemsit lielu CPU lietojumu klasterī:

Šādos gadījumos palīgā var nākt utilīta strace - tas parādīs, kāda varētu būt problēma:

sudo strace -c -p 9331

Pārliecinieties, vai profilos ir visi sistēmas izsaukumi, kas lietojumprogrammai ir nepieciešami izpildlaikā.

Padoms # 7: pievērsiet uzmanību detaļām un pārliecinieties, vai visi nepieciešamie sistēmas zvani ir iekļauti baltajā sarakstā.

Ar šo tiek noslēgta pirmā daļa rakstu sērijai par seccomp izmantošanu programmā Kubernetes SecDevOps garā. Nākamajās daļās mēs runāsim par to, kāpēc tas ir svarīgi un kā automatizēt procesu.

PS no tulka

Lasi arī mūsu emuārā:

Avots: www.habr.com

Seccomp in Kubernetes: 7 lietas, kas jums jāzina no paša sākuma