Kubernetes v1.36: Nicht löschbare Admission Policies

TL;DR

Kubernetes v1.36 führt ein neues Alpha-Feature namens manifest-basiertes Admission Control ein, das die Verwaltung von Admission Policies verbessert, indem es diese als Dateien auf dem Dateisystem speichert. Dadurch werden Sicherheitsrichtlinien vor dem Start des API-Servers geladen, was eine durchgehende Durchsetzung von Richtlinien ermöglicht und das Risiko von Löschungen durch privilegierte Benutzer minimiert.

Hauptinhalt

Mit der Einführung von Kubernetes v1.36 wird das Problem der Sicherheitsrichtlinien, die während der Cluster-Bootstrap-Phase nicht aktiv sind, angegangen. Bisher konnten Admission Policies, die als API-Objekte erstellt wurden, von Benutzern mit den entsprechenden Berechtigungen gelöscht werden, was zu einer Sicherheitslücke führte. Die neue Funktion ermöglicht es, Admission Webhooks und CEL-basierte Richtlinien als Dateien auf dem Dateisystem zu definieren, die der API-Server beim Start lädt, bevor er Anfragen bearbeitet.

Das bestehende System zur Durchsetzung von Richtlinien in Kubernetes funktioniert über API-Objekte wie ValidatingAdmissionPolicy und Webhook-Konfigurationen. Während der Cluster-Bootstrap-Phase gibt es jedoch eine kritische Zeitspanne, in der der API-Server bereits Anfragen bearbeitet, die Richtlinien jedoch noch nicht aktiv sind. Dies kann zu Problemen führen, insbesondere bei der Wiederherstellung von Backups oder nach einem Ausfall von etcd. Zudem können privilegierte Benutzer kritische Admission Policies löschen, da die Webhooks nicht auf ihre eigenen Konfigurationsressourcen zugreifen können.

Um diese Probleme zu lösen, wurde ein neues Feld namens staticManifestsDir in die AdmissionConfiguration eingeführt. Dieses Feld verweist auf ein Verzeichnis, in dem die YAML-Dateien der Richtlinien abgelegt werden. Der API-Server lädt diese Dateien beim Start, was sicherstellt, dass die Richtlinien immer aktiv sind. Die Manifestdateien müssen den Namenssuffix .static.k8s.io tragen, um Kollisionen mit API-basierten Konfigurationen zu vermeiden und die Herkunft der Admission-Entscheidungen in Metriken oder Audit-Logs klar zu kennzeichnen.

Ein Beispiel für eine solche Richtlinie könnte das Verbot von privilegierten Containern außerhalb des kube-system-Namespaces sein. Diese Richtlinie wird in der YAML-Datei definiert und kann einfach geändert werden, indem die Datei auf dem Dateisystem aktualisiert wird, ohne dass es zu zirkulären Abhängigkeiten kommt.

Technische Details/Implikationen

Die manifest-basierten Admission Policies bieten eine robuste Methode zur Durchsetzung von Sicherheitsrichtlinien in Kubernetes-Umgebungen. Durch die Möglichkeit, Richtlinien direkt im Dateisystem zu speichern und sie beim Start des API-Servers zu laden, wird die Sicherheit erhöht. Administrators können nun sicherstellen, dass kritische Richtlinien nicht versehentlich gelöscht werden können, da die API nicht auf ihre eigenen Konfigurationen zugreift. Dies reduziert das Risiko von Sicherheitsvorfällen erheblich und vereinfacht die Verwaltung von Admission Policies in großen Kubernetes-Cluster-Umgebungen.

Fazit/Ausblick

Die Einführung von manifest-basierten Admission Policies in Kubernetes v1.36 stellt einen bedeutenden Fortschritt in der Sicherheitsarchitektur des Systems dar. Diese Funktion wird es ermöglichen, Richtlinien durchgehend und zuverlässig durchzusetzen, was insbesondere für Unternehmen von Bedeutung ist, die auf eine starke Sicherheitsstrategie angewiesen sind.