Policy Controller incluye una biblioteca predeterminada de plantillas de restricciones que se pueden usar con el paquete de políticas de la guía de refuerzo de Kubernetes v1.2 de la Agencia de Seguridad Nacional (NSA) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) para evaluar el cumplimiento de los recursos de tu clúster en relación con algunos aspectos de la guía de refuerzo de Kubernetes v1.2 de la NSA y la CISA.
En esta página se explica cómo aplicar manualmente un paquete de políticas. También puedes aplicar paquetes de políticas directamente.
Esta página está dirigida a administradores y operadores de TI que quieran asegurarse de que todos los recursos que se ejecutan en la plataforma en la nube cumplen los requisitos de cumplimiento de la organización. Para ello, deben proporcionar y mantener la automatización para auditar o aplicar los requisitos. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Roles y tareas de usuario habituales de GKE.
Restricciones del paquete de políticas de endurecimiento de Kubernetes v1.2 de la NSA y la CISA
| Nombre de la restricción | Descripción de la restricción |
|---|---|
| nsa-cisa-k8s-v1.2-apparmor | Restringe el perfil de `AppArmor` de los pods. |
| nsa-cisa-k8s-v1.2-automount-serviceaccount-token-pod | Restringe el uso de `automountServiceAccountToken` en los pods. |
| nsa-cisa-k8s-v1.2-block-all-ingress | Restringe la creación de objetos `Ingress`. |
| nsa-cisa-k8s-v1.2-block-secrets-of-type-basic-auth | Restringe el uso de secretos de tipo `kubernetes.io/basic-auth`. |
| nsa-cisa-k8s-v1.2-capabilities | Los contenedores deben eliminar todas las funciones y no pueden volver a añadir ninguna. |
| nsa-cisa-k8s-v1.2-cpu-and-memory-limits-required | Todos los pods de cargas de trabajo deben especificar límites de `cpu` y `memory`. |
| nsa-cisa-k8s-v1.2-host-namespaces | Restringe los contenedores con las propiedades `hostPID` o `hostIPC` establecidas en `true`. |
| nsa-cisa-k8s-v1.2-host-namespaces-hostnetwork | No se deben permitir los espacios de nombres de host compartidos. |
| nsa-cisa-k8s-v1.2-host-network | Restringe la ejecución de contenedores con la marca `hostNetwork` establecida en `true`. |
| nsa-cisa-k8s-v1.2-hostport | Restringe la ejecución de contenedores con la propiedad `hostPort` configurada. |
| nsa-cisa-k8s-v1.2-privilege-escalation | Restringe los contenedores con la propiedad `allowPrivilegeEscalation` establecida en `true`. |
| nsa-cisa-k8s-v1.2-privileged-containers | Restringe los contenedores con la propiedad `securityContext.privileged` establecida en `true`. |
| nsa-cisa-k8s-v1.2-readonlyrootfilesystem | Requiere que los contenedores de pods usen un sistema de archivos raíz de solo lectura. |
| nsa-cisa-k8s-v1.2-require-namespace-network-policies | Requiere que cada espacio de nombres definido en el clúster tenga una `NetworkPolicy`. |
| nsa-cisa-k8s-v1.2-restrict-clusteradmin-rolebindings | Restringe el uso del rol `cluster-admin`. |
| nsa-cisa-k8s-v1.2-restrict-edit-rolebindings | Restringe el uso del rol `edit`. |
| nsa-cisa-k8s-v1.2-restrict-hostpath-volumes | Restringe el uso de volúmenes `HostPath`. |
| nsa-cisa-k8s-v1.2-restrict-pods-exec | Restringe el uso de `pods/exec` en `Roles` y `ClusterRoles`. |
| nsa-cisa-k8s-v1.2-running-as-non-root | Restringe la ejecución de contenedores como usuario raíz. |
| nsa-cisa-k8s-v1.2-seccomp | El perfil de seccomp no debe definirse explícitamente como `Unconfined`. |
| nsa-cisa-k8s-v1.2-selinux | No se puede definir el tipo de SELinux ni establecer una opción de usuario o rol de SELinux personalizada. |
Antes de empezar
- Instala e inicializa la CLI de Google Cloud, que proporciona los comandos
gcloudykubectlque se usan en estas instrucciones. Si usas Cloud Shell, Google Cloud CLI viene preinstalada. - Instala Policy Controller en tu clúster con la biblioteca predeterminada de plantillas de restricciones. También debes habilitar la compatibilidad con las restricciones referenciales, ya que este paquete contiene restricciones referenciales.
Configurar Policy Controller para las restricciones referenciales
Guarda el siguiente manifiesto YAML en un archivo con el nombre
policycontroller-config.yaml. El manifiesto configura Policy Controller para que monitorice tipos específicos de objetos.apiVersion: config.gatekeeper.sh/v1alpha1 kind: Config metadata: name: config namespace: "gatekeeper-system" spec: sync: syncOnly: - group: "networking.k8s.io" version: "v1" kind: "NetworkPolicy"Aplica el manifiesto
policycontroller-config.yaml:kubectl apply -f policycontroller-config.yaml
Auditar el paquete de políticas de endurecimiento de Kubernetes v1.2 de la NSA y la CISA
Policy Controller te permite aplicar políticas en tu clúster de Kubernetes. Para ayudarte a probar tus cargas de trabajo y su cumplimiento de las políticas de la guía de refuerzo de seguridad de Kubernetes v1.2 de la NSA y la CISA que se describen en la tabla anterior, puedes implementar estas restricciones en modo "auditoría" para detectar infracciones y, lo que es más importante, tener la oportunidad de corregirlas antes de aplicarlas opcionalmente en tu clúster de Kubernetes.
Puedes aplicar estas políticas con spec.enforcementAction definido como dryrun mediante kubectl, kpt o Config Sync.
kubectl
(Opcional) Obtén una vista previa de las restricciones de la política con kubectl:
kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nsa-cisa-k8s-v1.2
Aplica las restricciones de la política con kubectl:
kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nsa-cisa-k8s-v1.2
El resultado es el siguiente:
k8sblockallingress.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-block-all-ingress created k8sblockobjectsoftype.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-block-secrets-of-type-basic-auth created k8spspallowprivilegeescalationcontainer.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-privilege-escalation created k8spspallowedusers.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-running-as-non-root created k8spspapparmor.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-apparmor created k8spspautomountserviceaccounttokenpod.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-automount-serviceaccount-token-pod created k8spspcapabilities.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-capabilities created k8spsphostfilesystem.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-restrict-hostpath-volumes created k8spsphostnamespace.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-host-namespaces created k8spsphostnetworkingports.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-host-network created k8spsphostnetworkingports.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-hostport created k8spspprivilegedcontainer.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-privileged-containers created k8spspreadonlyrootfilesystem.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-readonlyrootfilesystem created k8spspselinuxv2.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-selinux created k8spspseccomp.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-seccomp created k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-require-namespace-network-policies created k8srequiredresources.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-cpu-and-memory-limits-required created k8srestrictrolebindings.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-restrict-clusteradmin-rolebindings created k8srestrictrolebindings.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-restrict-edit-rolebindings created k8srestrictrolerules.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-restrict-pods-exec created
Verifica que se hayan instalado las restricciones de la política y comprueba si hay infracciones en el clúster:
kubectl get constraints -l policycontroller.gke.io/bundleName=nsa-cisa-k8s-v1.2
El resultado debería ser similar al siguiente:
NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sblockallingress.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-block-all-ingress dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sblockobjectsoftype.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-block-secrets-of-type-basic-auth dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspallowedusers.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-running-as-non-root dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspallowprivilegeescalationcontainer.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-privilege-escalation dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspapparmor.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-apparmor dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspautomountserviceaccounttokenpod.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-automount-serviceaccount-token-pod dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspcapabilities.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-capabilities dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostfilesystem.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-restrict-hostpath-volumes dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostnamespace.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-host-namespaces dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostnetworkingports.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-host-network dryrun 0 k8spsphostnetworkingports.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-hostport dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspprivilegedcontainer.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-privileged-containers dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspreadonlyrootfilesystem.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-readonlyrootfilesystem dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspseccomp.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-seccomp dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspselinuxv2.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-selinux dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredresources.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-cpu-and-memory-limits-required dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-require-namespace-network-policies dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrolebindings.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-restrict-clusteradmin-rolebindings dryrun 0 k8srestrictrolebindings.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-restrict-edit-rolebindings dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrolerules.constraints.gatekeeper.sh/nsa-cisa-k8s-v1.2-restrict-pods-exec dryrun 0
KPT
Instala y configura kpt.
kpt se usa en estas instrucciones para personalizar y desplegar recursos de Kubernetes.
Descarga el paquete de políticas de la guía de refuerzo de la seguridad de Kubernetes v1.2 de la NSA y la CISA de GitHub mediante kpt:
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nsa-cisa-k8s-v1.2
Ejecuta la función
set-enforcement-actionkpt para definir la acción de aplicación de las políticas endryrun:kpt fn eval nsa-cisa-k8s-v1.2 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \ -- enforcementAction=dryrun
Inicializa el directorio de trabajo con kpt, que crea un recurso para monitorizar los cambios:
cd nsa-cisa-k8s-v1.2 kpt live init
Aplica las restricciones de la política con kpt:
kpt live apply
Verifica que se hayan instalado las restricciones de la política y comprueba si hay infracciones en el clúster:
kpt live status --output table --poll-until current
El estado
CURRENTconfirma que las restricciones se han instalado correctamente.
Config Sync
Instala y configura kpt.
kpt se usa en estas instrucciones para personalizar y desplegar recursos de Kubernetes.
Los operadores que usen Config Sync para implementar políticas en sus clústeres pueden seguir estas instrucciones:
Cambia al directorio de sincronización de Config Sync:
cd SYNC_ROOT_DIR
Para crear o añadir
.gitignoreconresourcegroup.yaml, sigue estos pasos:echo resourcegroup.yaml >> .gitignore
Crea un directorio
policiesespecífico:mkdir -p policies
Descarga el paquete de políticas de la guía de refuerzo de la seguridad de Kubernetes v1.2 de la NSA y la CISA de GitHub mediante kpt:
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nsa-cisa-k8s-v1.2 policies/nsa-cisa-k8s-v1.2
Ejecuta la función
set-enforcement-actionkpt para definir la acción de aplicación de las políticas endryrun:kpt fn eval policies/nsa-cisa-k8s-v1.2 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun
(Opcional) Obtén una vista previa de las restricciones de la política que se van a crear:
kpt live init policies/nsa-cisa-k8s-v1.2 kpt live apply --dry-run policies/nsa-cisa-k8s-v1.2
Si el directorio de sincronización de Config Sync usa Kustomize, añade
policies/nsa-cisa-k8s-v1.2a tu raízkustomization.yaml. De lo contrario, elimina el archivopolicies/nsa-cisa-k8s-v1.2/kustomization.yaml:rm SYNC_ROOT_DIR/policies/nsa-cisa-k8s-v1.2/kustomization.yaml
Envía los cambios al repositorio de Config Sync:
git add SYNC_ROOT_DIR/policies/nsa-cisa-k8s-v1.2 git commit -m 'Adding NSA CISA Kubernetes Hardening v1.2 policy audit enforcement' git push
Verifica el estado de la instalación:
watch gcloud beta container fleet config-management status --project PROJECT_ID
El estado
SYNCEDconfirma la instalación de las políticas.
Ver las infracciones de las políticas
Una vez que las restricciones de la política se hayan instalado en el modo de auditoría, las infracciones del clúster se podrán ver en la interfaz de usuario mediante el panel de control de Policy Controller.
También puedes usar kubectl para ver las infracciones del clúster con el siguiente comando:
kubectl get constraint -l policycontroller.gke.io/bundleName=nsa-cisa-k8s-v1.2 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'
Si hay infracciones, se puede ver una lista de los mensajes de infracción por restricción con:
kubectl get constraint -l policycontroller.gke.io/bundleName=nsa-cisa-k8s-v1.2 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'
Cambiar la acción de aplicación del paquete de políticas de endurecimiento de Kubernetes v1.2 de la NSA y la CISA
Una vez que hayas revisado las infracciones de las políticas en tu clúster, puedes cambiar el modo de aplicación para que el controlador de admisión warn se active
o incluso deny bloquee la aplicación de recursos no conformes al clúster.
kubectl
Usa kubectl para definir la acción de aplicación de las políticas como
warn:kubectl get constraints -l policycontroller.gke.io/bundleName=nsa-cisa-k8s-v1.2 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'Verifica que se haya actualizado la medida de implementación de las restricciones de la política:
kubectl get constraints -l policycontroller.gke.io/bundleName=nsa-cisa-k8s-v1.2
KPT
Ejecuta la función
set-enforcement-actionkpt para definir la acción de aplicación de las políticas enwarn:kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
Aplica las restricciones de la política:
kpt live apply
Config Sync
Los operadores que usen Config Sync para implementar políticas en sus clústeres pueden seguir estas instrucciones:
Cambia al directorio de sincronización de Config Sync:
cd SYNC_ROOT_DIR
Ejecuta la función
set-enforcement-actionkpt para definir la acción de aplicación de las políticas enwarn:kpt fn eval policies/nsa-cisa-k8s-v1.2 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
Envía los cambios al repositorio de Config Sync:
git add SYNC_ROOT_DIR/policies/nsa-cisa-k8s-v1.2 git commit -m 'Adding NSA CISA Kubernetes Hardening v1.2 policy warn enforcement' git push
Verifica el estado de la instalación:
nomos status
El clúster debería mostrar el estado
SYNCEDcon las políticas instaladas.
Probar la aplicación de las políticas
Crea un recurso no conforme en el clúster con el siguiente comando:
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
namespace: default
name: wp-non-compliant
labels:
app: wordpress
spec:
containers:
- image: wordpress
name: wordpress
ports:
- containerPort: 80
name: wordpress
EOF
El controlador de admisión debe generar una advertencia en la que se enumeren las infracciones de la política que comete este recurso, como se muestra en el siguiente ejemplo:
Warning: [nsa-cisa-k8s-v1.2-automount-serviceaccount-token-pod] Automounting service account token is disallowed, pod: wp-non-compliant
Warning: [nsa-cisa-k8s-v1.2-running-as-non-root] Container wordpress is attempting to run without a required securityContext/runAsGroup. Allowed runAsGroup: {"ranges": [{"max": 65536, "min": 1000}], "rule": "MustRunAs"}
Warning: [nsa-cisa-k8s-v1.2-running-as-non-root] Container wordpress is attempting to run without a required securityContext/runAsUser
Warning: [nsa-cisa-k8s-v1.2-privilege-escalation] Privilege escalation container is not allowed: wordpress
Warning: [nsa-cisa-k8s-v1.2-cpu-and-memory-limits-required] container <wordpress> does not have <{"cpu", "memory"}> limits defined
Warning: [nsa-cisa-k8s-v1.2-capabilities] container <wordpress> is not dropping all required capabilities. Container must drop all of ["ALL"] or "ALL"
Warning: [nsa-cisa-k8s-v1.2-readonlyrootfilesystem] only read-only root filesystem container is allowed: wordpress
pod/wp-non-compliant created
Eliminar el paquete de políticas de endurecimiento de Kubernetes v1.2 de la NSA y la CISA
Si es necesario, se puede eliminar del clúster el paquete de políticas de protección de Kubernetes v1.2 de la NSA y la CISA.
kubectl
Usa kubectl para eliminar las políticas:
kubectl delete constraint -l policycontroller.gke.io/bundleName=nsa-cisa-k8s-v1.2
KPT
Elimina las políticas:
kpt live destroy
Config Sync
Los operadores que usen Config Sync para implementar políticas en sus clústeres pueden seguir estas instrucciones:
Envía los cambios al repositorio de Config Sync:
git rm -r SYNC_ROOT_DIR/policies/nsa-cisa-k8s-v1.2 git commit -m 'Removing NSA CISA Kubernetes Hardening Guide v1.2 policies' git push
Verifica el estado:
nomos status
El clúster debería mostrar el estado
SYNCEDcon los recursos eliminados.