1. Sigurnosni aspekti sustava za orkestraciju Kubernetes
- Author
-
Golubić, Tomislav and Vuković, Marin
- Subjects
Grafana ,DNS ,proxy ,ažuriranja ,logging ,mikroservis ,servis ,Lens ,kontejner ,TECHNICAL SCIENCES. Computing ,Kubescape ,Pod ,orkestrator ,service ,rbac ,cluster ,kublet ,zapisivanje ,nadogradnje ,secret ,Prometheus ,CVE ,autentifikacija ,certifikati ,authentication ,pod ,mreža ,updates ,Kubernetes ,yaml ,application ,security controls ,TEHNIČKE ZNANOSTI. Računarstvo ,audit ,node ,security policy ,orchestrator ,certificates ,klaster ,aplikacija ,nadzor ,upgrades ,container ,sigurnosna politika ,sigurnosne kontrole ,monitoring ,Elasticsearch ,microservice ,API ,network ,autorizacija ,authorization ,čvor ,revizija ,Kube Bench - Abstract
Složenost današnjih arhitektura računalnih i mrežnih sustava iziskuje velike napore pri administraciji i orkestraciji. Posljednjih godina ponuđeno je više rješenja koja imaju za cilj pojednostavniti postavljanje, upravljanje i nadzor takovih sustava. Prije svega, mogućnost kontejnerizacije te dinamičko upravljanje kontejnerima omogućuju znatno veću fleksibilnost sustava u smislu dostupnosti, skaliranja i upravljanja sigurnošću. Jedno od najraširenijih rješenja za ovu svrhu jest sustav za orkestraciju Kubernetes. Kubernetes omogućuje orkestraciju kontejnera u klasterima koji se sastoje od više čvorova. Ovo je vrlo važno ne samo za početnu implementaciju, već i za kasnije upravljanje sustavom sa većim brojem kontejnera kao jednim entitetom s ciljem što boljeg skaliranja, dostupnosti, a posebice sigurnosti. S obzirom na modele prijetnji, a iz perspektive sustava Kubernetes kao vrlo složenog sustava, specijalistički rad usmjerio se na osnovna područja sigurnosnih značajki sustava za orkestraciju Kubernetes. U specijalističkom radu opisan je način rada, osnovne konfiguracijske postavke sustava za orkestraciju Kubernetes, arhitektura sustava te komponente i objekti sustava. Nadalje, u radu se pokušalo dati odgovore na neka od pitanja, što su Kubernetes, čemu služe i zašto su potrebni te kako osigurati što višu razinu sigurnosti sustava za orkestraciju Kubernetes. U radu su razmatrane samo one sigurnosne kontrole koje se nalaze unutar neposrednog okruženja sustava za orkestraciju Kubernetes i to prvenstveno iz perspektive sistemskog održavanja sustava za orkestraciju Kubernetes. U praktičnom dijelu rada prikazane se sigurnosne konfiguracijske postavke sustava za orkestraciju Kubernetes s naglaskom na područja koja se odnose na autentifikaciju, autorizaciju i kontrolu pristupa temeljenu na ulogama (RBAC), izolaciju resursa, sigurnost čvorova, sigurnost mreže, sigurnost kontejnera i pripadajućih repozitorija, nadzor, zapisivanje i reviziju te periodična ažuriranja sustava Kubernetes. U specijalističkom radu sigurnosne postavke sustava za orkestraciju Kubernetes opisane su i prikazane kroz primjere na postavljenom sustavu koji se sastoji od klastera sa tri čvora. The complexity of today's computer and network system architectures requires great efforts in administration and orchestration. In recent years, several solutions have been offered that aim to simplify the setup, management and monitoring of such systems. First of all, the possibility of containerization and dynamic management of containers enable significantly greater flexibility of such systems in terms of availability, scaling and security management. One of the most widespread solutions for this purpose is the Kubernetes orchestration system. Kubernetes enables the orchestration of containers in clusters consisting of multiple nodes. This is very important not only for initial implementation, but also for later management of a system with a large number of containers as a single entity with the aim of better scaling, availability, and especially security. Considering the threat models, and from the perspective of the Kubernetes system as a very complex system, the specialist work focused on the core areas of the security features of the Kubernetes orchestration system. The specialist paper describes the mode of operation, basic configuration settings of the Kubernetes orchestration system, system architecture, and system components and objects. Furthermore, the paper tried to provide answers to some of the questions, what are Kubernetes, what are they for and why are they needed, and how to ensure the highest level of security of the Kubernetes orchestration system. The specialist thesis considered only those security controls that are located within the immediate environment of the Kubernetes orchestration system, primarily from the perspective of system maintenance. In the practical part of the work, the security configuration settings of the Kubernetes orchestration system are presented with an emphasis on areas related to authentication, authorization and role-based access control (RBAC), resource isolation, security of nodes, network security, security of containers and associated repository, monitoring, logging and auditing, and periodic updates to the Kubernetes system. In the specialist thesis, the security settings of the Kubernetes orchestration system are described and shown through examples on a set system consisting of a three-node cluster.
- Published
- 2023