Pengerasan Keselamatan DevOps: Panduan Praktikal untuk Platform Kubernetes

Senario

Kluster Kubernetes (v1.28) platform e-dagang mengalami kegagalan tidak dijangka: gangguan saluran paip CI dan pemadaman Pod. Audit keselamatan mendedahkan ServiceAccount bukan pentadbir dengan keistimewaan cluster-admin dan panggilan API tidak sah. Pasukan perlu mengeraskan keselamatan dengan segera.

Gejala

• Pod dimulakan semula atau dipadam secara tidak dijangka
• Panggilan API tidak sah dalam log audit
• Pengikatan RBAC berisiko tinggi
• Rahsia sensitif terdedah

Diagnosis

1. Periksa keizinan RBAC: bash kubectl get clusterrolebindings -o wide | grep -v system: kubectl get rolebindings --all-namespaces -o wide
2. Log audit: Dayakan pengauditan dan tapis aktiviti mencurigakan: bash kubectl logs -n kube-system kube-apiserver --tail=1000 | grep -E "User|verb=delete|verb=create"
3. Semak Dasar Keselamatan Pod (PSP) atau Kemasukan Keselamatan Pod (PSA): bash kubectl get psp -A kubectl get podsecurityconfiguration -A
4. Periksa penggunaan Rahsia: bash kubectl get secrets --all-namespaces | grep -E "token|cert|pass"

Perintah (Pengerasan)

1. Buang ClusterRoleBinding berbahaya: bash kubectl delete clusterrolebinding malicious-binding
2. Guna RBAC keistimewaan minimum: yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: production name: readonly rules: - apiGroups: [""] resources: ["pods", "services"] verbs: ["get", "list", "watch"]
3. Kuatkuasa Piawaian Keselamatan Pod (garis dasar): bash kubectl label ns production pod-security.kubernetes.io/enforce=baseline
4. Keras dasar rangkaian: ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: deny-all namespace: production spec: podSelector: {} policyTypes:
   • Ingress
   • Egress ```
5. Putar rahsia: bash kubectl delete secret my-secret kubectl create secret generic my-secret --from-literal=key=NILAI_BAHARU

Kawalan Risiko

• Uji semua perubahan dalam bukan produksi terlebih dahulu.
• Sandarkan RBAC dan dasar rangkaian sedia ada: bash kubectl get clusterrolebindings -o yaml > backup-clusterrolebindings.yaml kubectl get networkpolicies --all-namespaces -o yaml > backup-networkpolicies.yaml
• Gunakan kubectl auth can-i untuk mengesahkan keizinan: bash kubectl auth can-i create deployments --as=system:serviceaccount:production:my-sa

Rollback

• Kembalikan RBAC: bash kubectl apply -f backup-clusterrolebindings.yaml
• Kembalikan dasar rangkaian: bash kubectl apply -f backup-networkpolicies.yaml
• Buang label Keselamatan Pod: bash kubectl label ns production pod-security.kubernetes.io/enforce-

Pengesahan

• Sahkan pengetatan RBAC: bash kubectl auth can-i delete pods --as=system:serviceaccount:production:app-sa
• Uji pengasingan rangkaian: bash kubectl exec -n production test-pod -- curl -m 3 http://other-service sepatutnya tamat masa.
• Pastikan rahsia tidak terdedah: bash kubectl get secrets --all-namespaces -o json | jq '.items[] | select(.type=="Opaque") | .data | keys'

Bila Serahkan Tiket OpsGlobal

• Serangan berterusan yang memerlukan pembendungan segera.
• Insiden P0 kecemasan (contohnya, bukti kelayakan terjejas).
• Audit pematuhan (SOC2, PCI) memerlukan penilaian pakar.
• Kekurangan kepakaran keselamatan Kubernetes dalaman.

OpsGlobal menyediakan sokongan SRE jarak jauh 24/7 untuk diagnosis dan pemulihan pantas, memastikan keselamatan platform.