Sicherheit neu gedacht: Die neuesten Funktionen des Security Profiles Operators v0.4.0
ayedo Redaktion 2 Minuten Lesezeit

Sicherheit neu gedacht: Die neuesten Funktionen des Security Profiles Operators v0.4.0

Entdecken Sie die neuen Funktionen des Security Profiles Operators v0.4.0 und wie sie die Sicherheit in Kubernetes verbessern.
kubernetes kubernetes-news security

Die Security Profiles Operator (SPO) ist eine maßgebliche Erweiterung für Kubernetes, die die Verwaltung von seccomp, SELinux und AppArmor Profilen erheblich vereinfacht. Wir freuen uns, die Veröffentlichung von v0.4.0 anzukündigen, die viele neue Funktionen, Verbesserungen und Fehlerbehebungen mit sich bringt.

Was ist neu?

Es ist einige Zeit vergangen, seit der letzten Veröffentlichung v0.3.0. In den letzten sechs Monaten haben wir über 290 Commits vorgenommen, um neue Funktionen hinzuzufügen, bestehende zu optimieren und unsere Dokumentation zu überarbeiten.

Ein Highlight ist die Möglichkeit, seccomp- und SELinux-Profile mithilfe des Log-Enrichers aufzuzeichnen. Dies reduziert die Abhängigkeiten, die für die Profilaufzeichnung erforderlich sind, auf das Vorhandensein von auditd oder syslog (als Fallback) auf den Knoten. Alle Profilaufzeichnungen im Operator funktionieren einheitlich über die ProfileRecording CRD sowie die entsprechenden Label-Selector. Der Log-Enricher kann auch genutzt werden, um wertvolle Einblicke in seccomp- und SELinux-Nachrichten eines Knotens zu gewinnen. Weitere Informationen finden Sie in der offiziellen Dokumentation.

Verbesserungen im Zusammenhang mit seccomp

Neben der Aufzeichnung über den Log-Enricher bieten wir nun eine Alternative zur Aufzeichnung von seccomp-Profilen durch die Nutzung von ebpf. Diese optionale Funktion kann aktiviert werden, indem enableBpfRecorder auf true gesetzt wird. Dies führt dazu, dass ein dedizierter Container gestartet wird, der ein benutzerdefiniertes bpf-Modul auf jedem Knoten bereitstellt, um die Syscalls für Container zu sammeln. Dies unterstützt sogar ältere Kernel-Versionen, die das BPF Type Format (BTF) standardmäßig nicht bereitstellen, sowie die Architekturen amd64 und arm64. Schauen Sie sich unsere Dokumentation an, um dies in Aktion zu sehen. Übrigens fügen wir nun die Architektur des Seccomp-Profil-Hosts zu dem aufgezeichneten Profil hinzu.

Zusätzlich haben wir die Seccomp-Profil-API von v1alpha1 auf v1beta1 hochgestuft. Dies entspricht unserem übergeordneten Ziel, die CRD-APIs im Laufe der Zeit zu stabilisieren. Die einzige Änderung besteht darin, dass der Typ Architectures des Seccomp-Profils nun auf []Arch anstelle von []*Arch verweist.

Mit diesen Verbesserungen und neuen Funktionen wird die Verwaltung von Sicherheitsprofilen in Kubernetes effizienter und benutzerfreundlicher. ayedo ist stolz darauf, als Kubernetes-Partner an der Spitze dieser Entwicklungen zu stehen und Unternehmen dabei zu helfen, ihre Sicherheitsstrategien zu optimieren.


Quelle: Kubernetes Blog

Ähnliche Artikel