供应链安全

供应链安全

供应链安全_第1张图片

目录

文章目录

    • 供应链安全
    • 目录
    • 本节实战
    • 可信任软件供应链概述
    • 构建镜像Dockerfile文件优化
    • 镜像漏洞扫描工具:Trivy
    • 检查YAML文件安全配置:kubesec
    • 准入控制器: Admission Webhook
    • 准入控制器: ImagePolicyWebhook
    • 关于我
    • 最后

本节实战

实战名称
实战:安装Trivy-2023.6.4(测试成功)
实战:安装kubesec-2023.6.4(测试成功)
实战:准入控制器: ImagePolicyWebhook-2023.6.6(测试成功)

可信任软件供应链概述

**可信任软件供应链:**指在建设基础架构过程中,涉及的软件都是可信任的。

在K8s领域可信软件供应链主要是指镜像,因为一些软件交付物都是镜像,部署的最小载体。

供应链安全_第2张图片

构建镜像Dockerfile文件优化

  • 减少镜像层:一次RUN指令形成新的一层,尽量Shell命令都写在一行,减少镜像层。
  • **清理无用文件:**清理对应的残留数据,例如yum缓存。
  • **清理无用的软件包:**基础镜像默认会带一些debug工具,可以删除掉,仅保留应用程序所需软件,防止黑客利用。
  • 选择最小的基础镜像:例如alpine
  • **使用非root用户运行:**USER指令指定普通用户

供应链安全_第3张图片

  • 注意:

一次RUN指令形成新的一层,尽量Shell命令都写在一行,减少镜像层。

供应链安全_第4张图片

供应链安全_第5张图片

  • 删除掉这个缓存目录就行

供应链安全_第6张图片

  • alpine镜像大小:5MB

供应链安全_第7张图片

镜像漏洞扫描工具:Trivy

**Trivy:**是一种用于容器镜像、文件系统、Git仓库的漏洞扫描工具。发现目标软件存在的漏洞。

Trivy易于使用,只需安装二进制文件即可进行扫描,方便集成CI系统。

项目地址:https://github.com/aquasecurity/trivy

实战:安装Trivy-2023.6.4(测试成功)

供应链安全_第8张图片

  • 实验环境
实验环境:
centos7
  • 实验软件
链接:https://pan.baidu.com/s/17XstYWfyOWW3nyNgxhS4yQ?pwd=0820 
提取码:0820 
2023.6.4-trivy-code

image-20230604100019963

  • 安装步骤
1、下载软件
[root@k8s-master1 ~]#ll -h trivy_0.18.3_Linux-64bit.tar.gz #自己去官网下载,这里直接用提供的安装包
-rw-r--r-- 1 root root 11M Jun  4 07:39 trivy_0.18.3_Linux-64bit.tar.gz

2、移动二进制文件到/usr/bin目录
[root@k8s-master1 ~]#mkdir trivy
[root@k8s-master1 ~]#mv trivy_0.18.3_Linux-64bit.tar.gz trivy
[root@k8s-master1 ~]#cd trivy/
[root@k8s-master1 trivy]#tar xf trivy_0.18.3_Linux-64bit.tar.gz 
[root@k8s-master1 trivy]#ls
contrib  LICENSE  README.md  trivy  trivy_0.18.3_Linux-64bit.tar.gz
[root@k8s-master1 trivy]#mv trivy /usr/bin/

3、测试
[root@k8s-master1 ~]#trivy --help
NAME:
   trivy - A simple and comprehensive vulnerability scanner for containers

USAGE:
   trivy [global options] command [command options] target

VERSION:
   0.18.3

COMMANDS:
   image, i          scan an image
   filesystem, fs    scan local filesystem
   repository, repo  scan remote repository
   client, c         client mode
   server, s         server mode
   plugin, p         manage plugins
   help, h           Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --quiet, -q        suppress progress bar and log output (default: false) [$TRIVY_QUIET]
   --debug, -d        debug mode (default: false) [$TRIVY_DEBUG]
   --cache-dir value  cache directory (default: "/root/.cache/trivy") [$TRIVY_CACHE_DIR]
   --help, -h         show help (default: false)
   --version, -v      print the version (default: false)

安装结束。

示例:

# 容器镜像扫描
trivy image nginx
trivy image -i nginx.tar

# 打印指定(高危、严重)漏洞信息
trivy image -s HIGH nginx
trivy image -s HIGH,CRITICAL nginx

# JSON格式输出并保存到文件
trivy image  -f json -o output.json nginx

供应链安全_第9张图片

供应链安全_第10张图片

漏洞数据库:

供应链安全_第11张图片

image-20230604100536478

供应链安全_第12张图片

检查YAML文件安全配置:kubesec

**kubesec:**是一个针对K8s资源清单文件进行安全配置评估的工具,根据安全配置最佳实践来验证并给出建议。

官网:https://kubesec.io

项目地址:https://github.com/controlplaneio/kubesec

实战:安装kubesec-2023.6.4(测试成功)

供应链安全_第13张图片

  • 实验环境
实验环境:
centos7
  • 实验软件
链接:https://pan.baidu.com/s/1SvQ1ijvplpe-hfUv6cCUgQ?pwd=0820 
提取码:0820 
2023.6.4-kubesec-code

image-20230604101235356

  • 安装步骤
1、下载软件
root@k8s-master1 ~]#ll -h kubesec_linux_amd64.tar.gz 
-rw-r--r-- 1 root root 3.9M Jun  4 07:39 kubesec_linux_amd64.tar.gz

2、解压
[root@k8s-master1 ~]#tar xf kubesec_linux_amd64.tar.gz 
[root@k8s-master1 ~]#mv kubesec /usr/bin/

3、验证
[root@k8s-master1 ~]#kubesec --help

Validate Kubernetes resource security policies

Usage:
  kubesec [command]

Available Commands:
  help        Help about any command
  http        Starts kubesec HTTP server on the specified port
  scan        Scans Kubernetes resource YAML or JSON
  version     Prints kubesec version

Flags:
  -h, --help   help for kubesec

Use "kubesec [command] --help" for more information about a command.

安装结束。

示例:

kubesec scan deployment.yaml

或者使用容器环境执行检查
docker run -i kubesec/kubesec scan /dev/stdin < deployment.yaml

kubesec内置一个HTTP服务器,可以直接启用,远程调用。

  • 二进制
kubesec http 8080 &
  • Docker容器
docker run -d -p 8080:8080 kubesec/kubesec http 8080

示例:
curl -sSX POST --data-binary @deployment.yaml http://192.168.31.71:8080/scan

测试过程:

[root@k8s-master1 ~]#kubectl create deployment web --image=nginx --dry-run=client -oyaml > deployment.yaml
[root@k8s-master1 ~]#kubesec scan deployment.yaml

供应链安全_第14张图片

[root@k8s-master1 ~]#docker run -d -p 8085:8080 kubesec/kubesec http 8080 #宿主机端口:容器端口
[root@k8s-master1 ~]#curl -sSX POST --data-binary @deployment.yaml http://172.29.9.31:8085/scan #宿主机的8085端口

供应链安全_第15张图片

准入控制器: Admission Webhook

**Admission Webhook:**准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。

Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。

相关Webhook准入控制器:

  • MutatingAdmissionWebhook:修改资源,理论上可以监听并修改任何经过ApiServer处理的请求
  • ValidatingAdmissionWebhook:验证资源
  • ImagePolicyWebhook:镜像策略,主要验证镜像字段是否满足条件

供应链安全_第16张图片

准入控制器: ImagePolicyWebhook

实战:准入控制器: ImagePolicyWebhook-2023.6.6(测试成功)

供应链安全_第17张图片

  • 实验环境
实验环境:
1、win10,vmwrokstation虚机;
2、k8s集群:3台centos7.6 1810虚机,1个master节点,2个node节点
   k8s version:v1.20.0
   docker://20.10.7
  • 实验软件
链接:https://pan.baidu.com/s/1RGJtAhqWXMNVxk7vauaCeA?pwd=0820 
提取码:0820 
2023.6.6-ImagePolicyWebhook-code

供应链安全_第18张图片

  • 课件步骤

供应链安全_第19张图片

供应链安全_第20张图片

供应链安全_第21张图片

1、准备配置文件

(在k8s-master1上操作)

  • 创建admission_configuration.yaml文件
#创建/etc/kubernetes/image-policy目录及/etc/kubernetes/image-policy/admission_configuration.yaml文件
[root@k8s-master1 ~]#mkdir /etc/kubernetes/image-policy/
[root@k8s-master1 ~]#vim /etc/kubernetes/image-policy/admission_configuration.yaml
apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: ImagePolicyWebhook
  configuration:
    imagePolicy:
      kubeConfigFile: /etc/kubernetes/image-policy/connect_webhook.yaml  # 连接镜像策略服务器配置文件
      allowTTL: 50 # 控制批准请求的缓存时间,单位秒
      denyTTL: 50 # 控制拒绝请求的缓存时间,单位秒
      retryBackoff: 500 # 控制重试间隔,单位毫秒
      defaultAllow: true # 确定webhook后端失效的行为
  • 创建connect_webhook.yaml文件
[root@k8s-master1 ~]#vim /etc/kubernetes/image-policy/connect_webhook.yaml
apiVersion: v1
kind: Config
clusters:
- cluster:
    certificate-authority: /etc/kubernetes/image-policy/webhook.pem # 数字证书,用于验证远程服务
    server: https://172.29.9.32:8081/image_policy # 镜像策略服务器地址,必须是https
  name: webhook
contexts:
- context:
    cluster: webhook
    user: apiserver
  name: webhook
current-context: webhook
preferences: {}
users:
- name: apiserver
  user:
    client-certificate: /etc/kubernetes/image-policy/apiserver-client.pem # webhook准入控制器使用的证书
    client-key: /etc/kubernetes/image-policy/apiserver-client-key.pem # 对应私钥证书

注:涉及的证书文件,下一步将生成,然后会拷贝到相应路径。

2、部署镜像服务器

(在k8s-node1上操作。)

自己用python开发一个简单的webhook端点服务器,作用是拒绝部署的镜像乜有指定标签(即latest)。

(1) 自签HTTPS证书

来到k8s-node1节点:

  • 将压缩包image-policy-webhook.zip拷贝到k8s-node1节点并解压:
[root@k8s-node1 ~]#ll
total 4
-rw-r--r-- 1 root root 2910 Jun  5 07:09 image-policy-webhook.zip
[root@k8s-node1 ~]#unzip image-policy-webhook.zip 
Archive:  image-policy-webhook.zip
   creating: image-policy-webhook/
  inflating: image-policy-webhook/Dockerfile  
  inflating: image-policy-webhook/main.py     
  inflating: admission_configuration.yaml     
  inflating: connect_webhook.yaml    
  inflating: image-policy-certs.sh   
[root@k8s-node1 ~]#ls
admission_configuration.yaml  connect_webhook.yaml  image-policy-certs.sh  image-policy-webhook  image-policy-webhook.zip
  • 查看当前image-policy-certs.sh自签脚本文件:
[root@k8s-node1 ~]#cat image-policy-certs.sh 
[root@k8s-node1 ~]#cat image-policy-certs.sh 
cat > ca-config.json <<EOF  
{
  "signing": {
    "default": {
      "expiry": "87600h"    
    },
    "profiles": {
      "kubernetes": {       
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

cat > webhook-csr.json <<EOF
{
  "CN": "webhook",
  "hosts": [
   "172.29.9.32"
   ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes webhook-csr.json | cfssljson -bare webhook

cat > apiserver-client-csr.json <<EOF
{
  "CN": "apiserver",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes apiserver-client-csr.json | cfssljson -bare apiserver-client
  • 执行脚本:
[root@k8s-node1 ~]#sh image-policy-certs.sh 
[root@k8s-node1 ~]#ll
total 5784
-rw-r--r-- 1 root root     508 Oct 21  2021 admission_configuration.yaml
-rw-r--r-- 1 root root     956 Jun  5 07:15 apiserver-client.csr
-rw-r--r-- 1 root root     182 Jun  5 07:15 apiserver-client-csr.json
-rw------- 1 root root    1679 Jun  5 07:15 apiserver-client-key.pem
-rw-r--r-- 1 root root    1306 Jun  5 07:15 apiserver-client.pem
-rw-r--r-- 1 root root     294 Jun  5 07:15 ca-config.json
-rw-r--r-- 1 root root     960 Jun  5 07:15 ca.csr
-rw-r--r-- 1 root root     212 Jun  5 07:15 ca-csr.json
-rw------- 1 root root    1679 Jun  5 07:15 ca-key.pem
-rw-r--r-- 1 root root    1273 Jun  5 07:15 ca.pem
-rw-r--r-- 1 root root 5850685 Jun  5 07:15 cfssl.tar.gz
-rw-r--r-- 1 root root     632 Oct 21  2021 connect_webhook.yaml
-rw-r--r-- 1 root root    1365 Jun  5 07:13 image-policy-certs.sh
drwxr-xr-x 2 root root      39 Jul  9  2021 image-policy-webhook
-rw-r--r-- 1 root root    2910 Jun  5 07:09 image-policy-webhook.zip
-rw-r--r-- 1 root root    1001 Jun  5 07:15 webhook.csr
-rw-r--r-- 1 root root     202 Jun  5 07:15 webhook-csr.json
-rw------- 1 root root    1679 Jun  5 07:15 webhook-key.pem
-rw-r--r-- 1 root root    1330 Jun  5 07:15 webhook.pem
  • 拷贝证书文件到k8s-master1对应目录:
[root@k8s-node1 ~]#scp  webhook.pem apiserver-client-key.pem apiserver-client.pem [email protected]:/etc/kubernetes/image-policy/
The authenticity of host '172.29.9.31 (172.29.9.31)' can't be established.
ECDSA key fingerprint is SHA256:XfMhwZeoqC6kPHaF1uPzLdY9t2ZgNoNvyEd0kJd24eY.
ECDSA key fingerprint is MD5:ec:5e:37:9d:fc:e7:af:e1:9e:3a:ac:21:81:92:b5:91.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.29.9.31' (ECDSA) to the list of known hosts.
[email protected]'s password: 
webhook.pem                                                                                                                                                       100% 1330     1.3MB/s   00:00    
apiserver-client-key.pem                                                                                                                                          100% 1679   858.4KB/s   00:00     
apiserver-client.pem                                                                                                                                              100% 1306   330.6KB/s   00:00     

[root@k8s-master1 ~]#cd  /etc/kubernetes/image-policy/
[root@k8s-master1 image-policy]#ll
total 20
-rw-r--r-- 1 root root  509 Jun  5 07:01 admission_configuration.yaml
-rw------- 1 root root 1679 Jun  5 07:27 apiserver-client-key.pem    
-rw-r--r-- 1 root root 1306 Jun  5 07:27 apiserver-client.pem        
-rw-r--r-- 1 root root  633 Jun  5 07:04 connect_webhook.yaml        
-rw-r--r-- 1 root root 1330 Jun  5 07:27 webhook.pem

(2) Docker容器启动镜像策略服务

  • 构建镜像:
[root@k8s-node1 ~]#pwd
/root
[root@k8s-node1 ~]#ls
admission_configuration.yaml  apiserver-client-key.pem  ca.csr       ca.pem                image-policy-certs.sh     webhook.csr       webhook.pem
apiserver-client.csr          apiserver-client.pem      ca-csr.json  cfssl.tar.gz          image-policy-webhook      webhook-csr.json
apiserver-client-csr.json     ca-config.json            ca-key.pem   connect_webhook.yaml  image-policy-webhook.zip  webhook-key.pem
[root@k8s-node1 ~]#cd image-policy-webhook
[root@k8s-node1 image-policy-webhook]#ls
Dockerfile  main.py
[root@k8s-node1 image-policy-webhook]#cat Dockerfile 
FROM python
RUN useradd python
RUN mkdir /data/www -p
COPY . /data/www
RUN chown -R python /data
RUN pip install flask -i https://mirrors.aliyun.com/pypi/simple/
WORKDIR /data/www
USER python
CMD python main.py
[root@k8s-node1 image-policy-webhook]#docker build -t image-policy-webhook .
[root@k8s-node1 image-policy-webhook]#docker images|grep image-policy-webhook
image-policy-webhook                                 latest           331d1c0b42d8   18 seconds ago   936MB
  • 启动容器:
docker run -d -u root --name=image-policy-webhook \
-v $PWD/webhook.pem:/data/www/webhook.pem \
-v $PWD/webhook-key.pem:/data/www/webhook-key.pem \
-e PYTHONUNBUFFERED=1 -p 8081:8080 \
image-policy-webhook

#注意:这里的证书文件是放置在/root下的;
#注意:课件里宿主机端口用的是8080,但自己宿主机8080端口被nodeCache占用了,因此这里使用8081.

[root@k8s-node1 ~]#docker ps -l
CONTAINER ID   IMAGE                  COMMAND                  CREATED         STATUS         PORTS                                       NAMES
7145eb5dfa6d   image-policy-webhook   "/bin/sh -c 'python …"   5 seconds ago   Up 4 seconds   0.0.0.0:8081->8080/tcp, :::8081->8080/tcp   image-policy-webhook
[root@k8s-node1 ~]#docker logs 7145eb5dfa6d
 * Serving Flask app 'main'
 * Debug mode: off
WARNING: This is a development server. Do not use it in a production deployment. Use a production WSGI server instead.
 * Running on all addresses (0.0.0.0)
 * Running on https://127.0.0.1:8080
 * Running on https://172.17.0.2:8080
Press CTRL+C to quit
[root@k8s-node1 ~]#

3、启用准入控制插件

[root@k8s-master1 ~]#vim /etc/kubernetes/manifests/kube-apiserver.yaml  
    - --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook                                       
    - --admission-control-config-file=/etc/kubernetes/image-policy/admission_configuration.yaml
  
  ……
      - mountPath: /etc/kubernetes/image-policy
      name: image-policy
      readOnly: true
  ……    
  - hostPath:
      path: /etc/kubernetes/image-policy
      type: DirectoryOrCreate
    name: image-policy

供应链安全_第22张图片

供应链安全_第23张图片

报错退出,此时可以看到静态pod kube-apiserver-k8s-master1发生重启了。

4、测试

  • k8s-node1上持续查看容器image-policy的日志
[root@k8s-node1 ~]#docker logs -f image-policy-webhook

供应链安全_第24张图片

  • 创建不带tag的deployment资源测试
[root@k8s-master1 image-policy]#kubectl create deployment web-no-tag --image=nginx
deployment.apps/web-no-tag created
[root@k8s-master1 image-policy]#kubectl get deployment 
NAME         READY   UP-TO-DATE   AVAILABLE   AGE
web-no-tag   0/1     0            0           10s
[root@k8s-master1 image-policy]#kubectl describe replicaset web-no-tag-78bd59988f

供应链安全_第25张图片

供应链安全_第26张图片

  • 创建tag的deployment资源测试
[root@k8s-master1 image-policy]#kubectl create deployment web-with-tag --image=nginx:1.16                                                                                                           
deployment.apps/web-with-tag created
[root@k8s-master1 image-policy]#kubectl get deployment
NAME           READY   UP-TO-DATE   AVAILABLE   AGE
web-no-tag     0/1     0            0           2m45s
web-with-tag   1/1     1            1           6s

供应链安全_第27张图片

带有tag的镜像会被成功创建,不带tag的镜像会被ImagePolicyWebhook拒绝,符合预期。

测试结束。

关于我

我的博客主旨:

  • 排版美观,语言精炼;
  • 文档即手册,步骤明细,拒绝埋坑,提供源码;
  • 本人实战文档都是亲测成功的,各位小伙伴在实际操作过程中如有什么疑问,可随时联系本人帮您解决问题,让我们一起进步!

微信二维码
x2675263825 (舍得), qq:2675263825。

供应链安全_第28张图片

微信公众号
《云原生架构师实战》

供应链安全_第29张图片

语雀

https://www.yuque.com/xyy-onlyone

供应链安全_第30张图片

csdn
https://blog.csdn.net/weixin_39246554?spm=1010.2135.3001.5421

供应链安全_第31张图片

知乎
https://www.zhihu.com/people/foryouone

供应链安全_第32张图片

最后

好了,关于本次就到这里了,感谢大家阅读,最后祝大家生活快乐,每天都过的有意义哦,我们下期见!

你可能感兴趣的:(安全,运维,linux)