1 added
1 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: внутренняя безопасность в kubernetes</p>
1
<p>Теги: внутренняя безопасность в kubernetes</p>
2
<p>Все знают про аутентификацию, авторизацию и аудит в Kubernetes. Но нередко возникает вопрос: "Как правильно строить аутентификацию?" Дело в том, что тут есть ряд антипаттернов:</p>
2
<p>Все знают про аутентификацию, авторизацию и аудит в Kubernetes. Но нередко возникает вопрос: "Как правильно строить аутентификацию?" Дело в том, что тут есть ряд антипаттернов:</p>
3
<p>Но на практике, чаще всего, у компаний есть каталог пользователя, например, Active Directory, и они хотят связать его с Kubernetes. Есть несколько способов это сделать: 1. Authenticating Proxy. 2. Webhook Token Authentication. 3. OpenID Connect Tokens.</p>
3
<p>Но на практике, чаще всего, у компаний есть каталог пользователя, например, Active Directory, и они хотят связать его с Kubernetes. Есть несколько способов это сделать: 1. Authenticating Proxy. 2. Webhook Token Authentication. 3. OpenID Connect Tokens.</p>
4
<p>Один из лучших вариантов<a>с точки зрения специалистов из Mail.ru</a>-<strong>OpenID Connect Tokens</strong>. Наверное, все знают про безопасный протокол аутентификации OAuth 2.0. Так вот, OpenID Connect является его расширением. Вся фишка в том, что вы интегрируете Кубернетес не напрямую с Active Directory, а ставите<strong>посредника</strong>, для которого настраивается федерация с Active Directory. При этом в AD хранятся пользователи, пароли и группы, а в IAM пароли уже не хранятся, зато хранится гораздо больше другой информации (аудит логов пользователей, сессии и т. п., плюс можно настроить политику паролей или 2-факторную авторизацию). Далее Kubernetes настраивается на доверие с IAM:</p>
4
<p>Один из лучших вариантов<a>с точки зрения специалистов из Mail.ru</a>-<strong>OpenID Connect Tokens</strong>. Наверное, все знают про безопасный протокол аутентификации OAuth 2.0. Так вот, OpenID Connect является его расширением. Вся фишка в том, что вы интегрируете Кубернетес не напрямую с Active Directory, а ставите<strong>посредника</strong>, для которого настраивается федерация с Active Directory. При этом в AD хранятся пользователи, пароли и группы, а в IAM пароли уже не хранятся, зато хранится гораздо больше другой информации (аудит логов пользователей, сессии и т. п., плюс можно настроить политику паролей или 2-факторную авторизацию). Далее Kubernetes настраивается на доверие с IAM:</p>
5
<h4>Почему OpenID Connect - это круто:</h4>
5
<h4>Почему OpenID Connect - это круто:</h4>
6
<ol><li>Он удобен.</li>
6
<ol><li>Он удобен.</li>
7
<li>Обеспечивается повышенная безопасность.</li>
7
<li>Обеспечивается повышенная безопасность.</li>
8
<li>Это больше, чем проверка Username/Password.</li>
8
<li>Это больше, чем проверка Username/Password.</li>
9
<li>ID-токены OIDS короткоживущие, следовательно, меньше риски, плюс есть Renew tokens.</li>
9
<li>ID-токены OIDS короткоживущие, следовательно, меньше риски, плюс есть Renew tokens.</li>
10
<li>Можно настроить 2-Factor Auth: TOTP-токены.</li>
10
<li>Можно настроить 2-Factor Auth: TOTP-токены.</li>
11
</ol><p>Стоит добавить, что сегодня на рынке много OpenID Connect-провайдеров, как публичных, так и Private.</p>
11
</ol><p>Стоит добавить, что сегодня на рынке много OpenID Connect-провайдеров, как публичных, так и Private.</p>
12
<p>Также стоит учитывать, что вам придётся по-другому работать с Kubectl и указывать много дополнительных параметров:</p>
12
<p>Также стоит учитывать, что вам придётся по-другому работать с Kubectl и указывать много дополнительных параметров:</p>
13
-
<p>В принципе, эта проблема минимизируется путём применения хелперов:</p>
13
+
<p>В принципе, эта проблема мин��мизируется путём применения хелперов:</p>
14
<p>Читайте также: •<a>Безопасность в Kubernetes. Docker Image Security</a>; •<a>Безопасность в Kubernetes: Host Level Security</a>; •<a>Безопасность в Kubernetes: Container Runtime Security</a>; •<a>Сетевая безопасность в Kubernetes</a>.</p>
14
<p>Читайте также: •<a>Безопасность в Kubernetes. Docker Image Security</a>; •<a>Безопасность в Kubernetes: Host Level Security</a>; •<a>Безопасность в Kubernetes: Container Runtime Security</a>; •<a>Сетевая безопасность в Kubernetes</a>.</p>
15
15