За последнее время появилось много статей про опцию SeccompDefault, появившуюся в версии 1.22. Данная опция меняет дефолтный seccomp профиль с Unconfined на RuntimeDefault.

На мой взгляд самыми полезными статьями являются:
1) "Enable seccomp for all workloads with a new v1.22 alpha feature" от специалиста из Red Hat с официального блога Kubernetes
2) "How to enable Kubernetes container RuntimeDefault seccomp profile for all workloads" от специалиста из Azure

В первой статье, упор больше идет на то, как это правильно включить и постепенно активировать во всем кластере без вреда вашим приложениям. Конечно, тут упоминается и Security Profiles Operator. Во второй статье, автор больше отвечает на вопрос: что такое этот RuntimeDefaults профиль и что он дает.

Интересные моменты:
- У каждого Container Runtime есть свой RuntimeDefaults профиль, и они отличаются
- Включать данную опцию можно постепенно или только на определенных узлах, а не на всем кластере
- Приложение на заблокированный syscall получит ответ EPERM хотя обсуждения есть и про ENOSYS

И замечательная цитата: "Developers, site reliability engineers and infrastructure administrators have to work hand in hand to create, distribute and maintain the profiles over the applications life-cycle."

P.S. Не забываем и про то что можно сделать и указать свой кастомный еще более строгий seccomp профиль

k8s (in)security

За последнее время появилось много статей про опцию SeccompDefault, появившуюся в версии 1.22. Данная опция меняет дефолтный seccomp профиль с Unconfined на RuntimeDefault.

На мой взгляд самыми полезными статьями являются:
1) "Enable seccomp for all workloads with a new v1.22 alpha feature" от специалиста из Red Hat с официального блога Kubernetes
2) "How to enable Kubernetes container RuntimeDefault seccomp profile for all workloads" от специалиста из Azure

В первой статье, упор больше идет на то, как это правильно включить и постепенно активировать во всем кластере без вреда вашим приложениям. Конечно, тут упоминается и Security Profiles Operator. Во второй статье, автор больше отвечает на вопрос: что такое этот RuntimeDefaults профиль и что он дает.

Интересные моменты:
- У каждого Container Runtime есть свой RuntimeDefaults профиль, и они отличаются
- Включать данную опцию можно постепенно или только на определенных узлах, а не на всем кластере
- Приложение на заблокированный syscall получит ответ EPERM хотя обсуждения есть и про ENOSYS

И замечательная цитата: "Developers, site reliability engineers and infrastructure administrators have to work hand in hand to create, distribute and maintain the profiles over the applications life-cycle."

P.S. Не забываем и про то что можно сделать и указать свой кастомный еще более строгий seccomp профиль

Telegram

k8s (in)security

На прошлой неделе состоялся релиз Kubernetes 1.22. Там было аж 56 улучшения, что на текущий момент самый масштабный релиз. Вопросы безопасности не остались без внимания, я бы даже сказал - были одними из самых фундаментальных:

- PodSecurity admission controller…

hottg.com/k8security/380

1.7K viewsD1g1, Sep 1, 2021 at 06:01