安全合規在ACK叢集託管架構下遵循責任共擔原則,其中Container ServiceACK負責叢集控制面組件(包括Kubernetes控制平面組件和etcd)以及叢集服務相關阿里雲基礎設施的預設安全性。本文介紹阿里雲Container ServiceACK的安全責任共擔模型。
阿里雲負責
首先在管控面側,阿里雲會通過完備的平台安全能力負責管控側基礎設施(包括計算、儲存、網路等雲端服務資源)的安全性;同時基於阿里雲OS安全強化等業務通用的安全標準基準,對ACK叢集管控面組件配置和鏡像進行符合標準定義的安全強化。針對叢集節點OS或K8s組件層面的安全性漏洞,阿里雲會負責及時提供相關公告並發布對應的漏洞補丁或版本更新能力。同時阿里雲會面向企業雲原生應用生命週期中安全防護的典型情境,提供必要的安全防護功能和最佳實務指導。
客戶負責
客戶的安全管理營運人員需要負責部署在雲上的業務應用安全防護以及對雲上資源的安全配置和更新,包含以下內容:
基於阿里雲公告和提供的補丁或版本升級方式及時進行OS、叢集側系統組件、運行時等漏洞的修複和版本更新。
遵循安全原則進行ACK叢集、節點池和網路等參數配置,避免因為不當的參數或許可權配置給攻擊者可乘之機。
基於使用需求,遵循許可權最小化原則進行應用或帳號、角色的授權,憑據的管理,相關安全性原則的部署實施以及應用自身參數配置安全。
負責應用製品的供應鏈安全。
負責應用敏感性資料和應用運行時刻的安全。
對於離職員工或非受信人員,刪除RAM使用者或RAM角色並不會同步刪除該使用者或角色擁有的叢集KubeConfig中的RBAC許可權。因此,在刪除RAM使用者或RAM角色之前,請吊銷離職員工或非受信使用者的KubeConfig許可權。具體操作,請參見吊銷叢集的KubeConfig憑證。
理解責任共擔模型
在您設計和部署公司專屬應用程式系統之前,請您充分理解企業自身和阿里雲的安全責任邊界。
ACK託管架構下叢集安全的責任共擔模型如下圖所示。
當您選擇使用ACK Serverless叢集或在ACK託管叢集中部署虛擬節點群組件(ack-virtual-node)時,除了叢集控制面和基礎設施安全外,阿里雲還將負責Pod底層Elastic Container Instance運行時的安全,由客戶負責重建應用Pod以使修複生效。下圖為Serverless架構下使用ACK Serverless叢集或在ACK託管叢集中部署虛擬節點群組件(ack-virtual-node)時的安全責任共擔模型。
對於使用託管節點池的ACK叢集,阿里雲會負責根據客戶對於託管節點池的配置嘗試自動化的修複節點OS漏洞和Kubelet版本升級,其中,節點OS漏洞的修複補丁由Security Center提供。如果叢集節點使用的是自訂OS鏡像,仍需要由客戶負責節點漏洞的修複更新。下圖為託管架構下ACK叢集使用託管節點池時的安全責任共擔模型。