Ansichten:
Profilanwendbarkeit: Stufe 2
Verwenden Sie GKE Sandbox, um unzuverlässige Workloads als zusätzliche Schutzschicht in einer Multi-Tenant-Umgebung einzuschränken.
GKE Sandbox bietet eine zusätzliche Sicherheitsebene, um zu verhindern, dass nicht vertrauenswürdiger Code den Host-Kernel auf Ihren Cluster-Knoten beeinträchtigt.
Wenn Sie GKE Sandbox in einem Node-Pool aktivieren, wird für jedes Pod, das auf einem Node in diesem Node-Pool läuft, ein Sandbox erstellt. Darüber hinaus wird verhindert, dass Nodes, die sandboxed Pods ausführen, auf andere GCP-Dienste oder Cluster-Metadaten zugreifen. Jede Sandbox verwendet ihren eigenen Userspace-Kernel.
Multi-Tenant-Cluster und Cluster, deren Container nicht vertrauenswürdige Workloads ausführen, sind stärker Sicherheits-Schwachstellen ausgesetzt als andere Cluster. Beispiele hierfür sind SaaS-Anbieter, Webhosting-Anbieter oder andere Organisationen, die ihren Nutzern erlauben, Code hochzuladen und auszuführen. Ein Fehler im Container-Runtime oder im Host-Kernel könnte es einem Prozess, der innerhalb eines Containers läuft, ermöglichen, aus dem Container 'auszubrechen' und den Kernel des Knotens zu beeinflussen, was möglicherweise den Knoten zum Absturz bringen könnte.
Es besteht auch die Möglichkeit, dass ein bösartiger Mieter durch Ausnutzung eines solchen Defekts Zugriff auf die Daten eines anderen Mieters im Speicher oder auf der Festplatte erhält und diese exfiltriert.
Hinweis
Hinweis
Standardmäßig ist die GKE-Sandbox deaktiviert.

Auswirkung

Die Verwendung von GKE Sandbox erfordert, dass das Node-Image auf Container-Optimized OS mit containerd (cos_containerd) eingestellt ist.
Derzeit ist es nicht möglich, GKE Sandbox zusammen mit den folgenden Kubernetes-Funktionen zu verwenden:
  • Beschleuniger wie GPUs oder TPUs
  • Istio
  • Überwachung von Statistiken auf Ebene des Pods oder Containers
  • Hostpath-Speicher
  • PID-Namespace pro Container
  • CPU- und Speichergrenzen werden nur für garantierte Pods und burstfähige Pods angewendet, und nur wenn CPU- und Speichergrenzen für alle Container im Pod festgelegt sind
  • Pods, die PodSecurityPolicies verwenden, die Host-Namespaces wie hostNetwork, hostPID oder hostIPC angeben
  • Pods, die PodSecurityPolicy-Einstellungen wie den privilegierten Modus verwenden
  • VolumeGeräte
  • Portweiterleitung
  • Linux-Kernel-Sicherheitsmodule wie Seccomp, Apparmor oder Selinux Sysctl, NoNewPrivileges, bidirektionale MountPropagation, FSGroup oder ProcMount

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie auf jeden Cluster und auf alle Node-Pools, die nicht standardmäßig bereitgestellt werden.
  3. Auf der Seite mit den Knotengruppendetails, unter der Überschrift Sicherheit auf der Seite mit den Knotengruppendetails, überprüfen Sie, dass Sandbox with gVisor auf Aktiviert gesetzt ist.
Der Standard-Node-Pool kann GKE Sandbox nicht verwenden.
Verwendung der Befehlszeile:
Führen Sie diesen Befehl aus: 
gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME 
--zone $COMPUTE_ZONE --format json | jq '.config.sandboxConfig'
Die Ausgabe des obigen Befehls wird Folgendes zurückgeben, wenn der Node-Pool in einer Sandbox läuft:
{ 
    "sandboxType":"gvisor" 
}
Wenn kein Sandbox vorhanden ist, wird die Ausgabe des obigen Befehls null sein ({ }). Der Standard-Node-Pool kann GKE Sandbox nicht verwenden.

Wiederherstellung

Sobald ein Node-Pool erstellt wurde, kann GKE Sandbox nicht aktiviert werden, stattdessen ist ein neuer Node-Pool erforderlich. Der Standard-Node-Pool (der erste Node-Pool in Ihrem Cluster, der beim Erstellen des Clusters erstellt wird) kann GKE Sandbox nicht verwenden.
Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie einen Cluster aus und klicken Sie auf ADD NODE POOL.
  3. Konfigurieren Sie den Node-Pool mit den folgenden Einstellungen:
    • Für die Node-Version wählen Sie v1.12.6-gke.8 oder höher.
    • Für das Knotenbild wählen Sie Container-Optimized OS with Containerd (cos_containerd) (default).
    • Unter Sicherheit wählen Sie Enable sandbox with gVisor.
  4. Konfigurieren Sie die gewünschten Einstellungen für andere Node-Pools.
  5. Klicken Sie auf Speichern.
Verwendung der Befehlszeile:
Um GKE Sandbox in einem bestehenden Cluster zu aktivieren, muss ein neuer Node-Pool erstellt werden, was folgendermaßen durchgeführt werden kann:
gcloud container node-pools create <node_pool_name> --zone <compute-zone> 
--cluster <cluster_name> --image-type=cos_containerd --sandbox="type=gvisor"

Zusätzliche Informationen:

Der Standard-Node-Pool (der erste Node-Pool in Ihrem Cluster, der beim Erstellen des Clusters erstellt wird) kann GKE Sandbox nicht verwenden.
Bei der Verwendung von GKE Sandbox muss Ihr Cluster mindestens zwei Node-Pools haben. Sie müssen immer mindestens einen Node-Pool haben, in dem GKE Sandbox deaktiviert ist. Dieser Node-Pool muss mindestens einen Knoten enthalten, auch wenn alle Ihre Workloads in der Sandbox ausgeführt werden.
Es ist optional, aber empfohlen, dass Sie Stackdriver Logging und Stackdriver Monitoring aktivieren, indem Sie das Flag --enable-stackdriver-kubernetes hinzufügen. gVisor-Nachrichten werden protokolliert.