Normes de sécurité de pod (PSS) et contraintes de contexte de sécurité (SCC)
Les normes de sécurité de Kubernetes Pod (PSS) et les règles de sécurité de Pod (PSP) définissent des niveaux d'autorisation et limitent le comportement des pods. OpenShift Security Context Constraints (SCC) définit de façon similaire les restrictions de pod spécifiques à OpenShift Kubernetes Engine. Pour offrir cette personnalisation, Astra Trident autorise certaines autorisations lors de l'installation. Les sections suivantes décrivent en détail les autorisations définies par Astra Trident.
PSS remplace les politiques de sécurité Pod (PSP). La PSP est obsolète dans Kubernetes v1.21 et elle sera supprimée dans la version 1.25. Pour plus d'informations, reportez-vous à la section "Kubernetes : sécurité". |
Contexte de sécurité Kubernetes requis et champs associés
Autorisations | Description |
---|---|
Privilégié |
CSI nécessite que les points de montage soient bidirectionnels, ce qui signifie que le pod de nœud Trident doit exécuter un conteneur privilégié. Pour plus d'informations, reportez-vous à la section "Kubernetes : propagation du montage". |
Mise en réseau d'hôtes |
Requis pour le démon iSCSI. |
IPC hôte |
Le NFS utilise la communication interprocess (IPC) pour communiquer avec le NFSD. |
PID de l'hôte |
Nécessaire pour démarrer |
Capacités |
Le |
Seccomp |
Le profil Seccomp est toujours « confiné » dans des conteneurs privilégiés. Par conséquent, il ne peut pas être activé sur Astra Trident. |
SELinux |
Sur OpenShift, des conteneurs privilégiés sont exécutés dans le |
DAC |
Les conteneurs privilégiés doivent être exécutés en tant que root. Les conteneurs non privilégiés s'exécutent comme root pour accéder aux sockets unix requis par CSI. |
Normes de sécurité du pod (PSS)
Étiquette | Description | Valeur par défaut |
---|---|---|
|
Permet au contrôleur et aux nœuds Trident d'être admis dans le namespace d'installation. |
|
La modification des étiquettes de l'espace de noms peut entraîner l'absence de planification des modules, un "erreur de création: …" ou un "avertissement: trident-csi-…". Si cela se produit, vérifiez si le libellé de l'espace de noms pour privileged a été modifié. Si c'est le cas, réinstallez Trident.
|
Politiques de sécurité des pods (PSP)
Champ | Description | Valeur par défaut |
---|---|---|
|
Les conteneurs privilégiés doivent autoriser l'escalade des privilèges. |
|
|
Trident n'utilise pas les volumes éphémères CSI en ligne. |
Vide |
|
Les conteneurs Trident non privilégiés ne nécessitent pas de fonctionnalités supérieures à celles des ensembles par défaut et les conteneurs privilégiés se voient accorder toutes les capacités possibles. |
Vide |
|
Trident n'utilise pas de système "Pilote FlexVolume", par conséquent, ils ne sont pas inclus dans la liste des volumes autorisés. |
Vide |
|
Le pod des nœuds Trident monte le système de fichiers racine du nœud, ce qui ne permet donc pas de définir cette liste. |
Vide |
|
Trident n'utilise aucun |
Vide |
|
Trident n'exige aucun niveau de sécurité |
Vide |
|
Aucune fonctionnalité n'est requise pour être ajoutée aux conteneurs privilégiés. |
Vide |
|
L'autorisation de réaffectation des privilèges est gérée dans chaque pod Trident. |
|
|
Non |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Le montage des volumes NFS requiert la communication du IPC hôte avec |
|
|
Iscsiadm nécessite que le réseau hôte communique avec le démon iSCSI. |
|
|
Le PID hôte est requis pour vérifier si |
|
|
Trident n'utilise aucun port hôte. |
Vide |
|
Les pods de nœuds Trident doivent exécuter un conteneur privilégié pour monter des volumes. |
|
|
Les pods de nœuds Trident doivent écrire dans le système de fichiers de nœuds. |
|
|
Les pods de nœuds Trident exécutent un conteneur privilégié et ne peuvent pas supprimer de fonctionnalités. |
|
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Trident n'utilise pas |
Vide |
|
Trident n'est pas défini |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Les pods Trident requièrent ces plug-ins de volume. |
|
Contraintes de contexte de sécurité (SCC)
Étiquettes | Description | Valeur par défaut |
---|---|---|
|
Les pods des nœuds Trident montent le système de fichiers racine du nœud. |
|
|
Le montage des volumes NFS requiert la communication du IPC hôte avec |
|
|
Iscsiadm nécessite que le réseau hôte communique avec le démon iSCSI. |
|
|
Le PID hôte est requis pour vérifier si |
|
|
Trident n'utilise aucun port hôte. |
|
|
Les conteneurs privilégiés doivent autoriser l'escalade des privilèges. |
|
|
Les pods de nœuds Trident doivent exécuter un conteneur privilégié pour monter des volumes. |
|
|
Trident n'exige aucun niveau de sécurité |
|
|
Les conteneurs Trident non privilégiés ne nécessitent pas de fonctionnalités supérieures à celles des ensembles par défaut et les conteneurs privilégiés se voient accorder toutes les capacités possibles. |
Vide |
|
Aucune fonctionnalité n'est requise pour être ajoutée aux conteneurs privilégiés. |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Ce SCC est spécifique à Trident et lié à son utilisateur. |
Vide |
|
Les pods de nœuds Trident doivent écrire dans le système de fichiers de nœuds. |
|
|
Les pods de nœuds Trident exécutent un conteneur privilégié et ne peuvent pas supprimer de fonctionnalités. |
|
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Trident n'est pas défini |
Vide |
|
Les conteneurs privilégiés s'exécutent toujours « sans limite ». |
Vide |
|
Les conteneurs Trident s'exécutent en tant que root. |
|
|
Une entrée est fournie pour lier ce SCC à l'utilisateur Trident dans l'espace de noms Trident. |
s/o |
|
Les pods Trident requièrent ces plug-ins de volume. |
|