为满足 HIPAA 合规性,我们正在转换 Kubernetes 集群以在整个队列(所有 pod 之间)使用安全端点。由于集群由大约 8 到 10 个当前使用 HTTP 连接的服务组成,因此由 Kubernetes 来处理这将非常有用。
我们想要解决的特定攻击向量是节点(物理服务器)之间的数据包嗅探。
这个问题分为两部分:
非常感谢!
【问题讨论】:
标签: kubernetes
其实正确答案是“视情况而定”。我会将集群拆分为 2 个独立的网络。
1.控制平面网络
换句话说,这个网络是物理网络或底层网络的网络。
k8s 控制平面元素 - kube-apiserver、kube-controller-manager、kube-scheduler、kube-proxy、kubelet - 以各种方式相互交谈。除了少数端点(例如指标)外,可以在所有端点上配置加密。
如果您也在进行渗透测试,那么 kubelet authn/authz 也应该打开。否则,加密不会阻止对 kubelet 的未经授权的访问。这个端点(在端口 10250)很容易被劫持。
2。集群网络
集群网络是Pods使用的网络,也称为overlay网络。加密留给第 3 方覆盖插件来实现,如果失败,应用程序必须实现。
编织覆盖supports encryption。 @lukas-eichler 建议的服务网格链接器也可以实现这一点,但在不同的网络层上。
【讨论】:
Kubernetes 是否默认加密 pod 和节点之间的流量?
Kubernetes 不加密任何流量。
有像linkerd 这样的服务网格,可以让您轻松地在您的http 服务之间引入https 通信。
您将在每个节点上运行服务网格实例,所有服务都将与服务网格通信。服务网格内部的通信将被加密。
例子:
你的服务 -http-> localhost 到 servicemesh 节点 - https-> remoteNode -http-> localhost 到远程服务。
当您在与服务相同的 pod 中运行服务网格节点时,localhost 通信将在其他 pod 无法访问的私有虚拟网络设备上运行。
【讨论】:
这里的回复似乎已经过时了。截至 2021 年 4 月 28 日,至少以下组件似乎能够为 Kubernetes 提供加密网络层:
(以上列表来源于各项目主页)
【讨论】:
不,kubernetes 默认不加密流量
我没有亲自尝试过,但Calico software defined network 上的描述似乎与您所描述的内容有关,另外还有一个好处是已经是kubernetes friendly
我认为 Calico 进行了本机加密,但基于 this GitHub issue,他们似乎建议使用 IPSEC 之类的解决方案来加密,就像您使用传统主机一样
【讨论】: