Catégorie : Kubernetes

Azure Container Registry | Scanner vos images de containers

Hello,

Dans cet article nous voir ensemble comment activer la fonctionnalité de scan de vos image de containers avec l’aide Azure Security Center. Cette fonctionnalité va vous permettre d’identifier les potentielles vulnérabilités pouvant se trouver dans vos images de containers.

Quand une nouvelle image de container sera envoyée dans votre registry: Azure Container Registry, l’image sera analysée depuis Azure Security Center avec l’aide du scanner Qualys.

Au moment où j’écris cet article la fonctionnalité est en « public preview ». Pour activer celle-ci, je vous donne rendez-vous dans le service Azure Security Center puis je vous invite à sélectionner l’onglet « Pricing & Settings ».

Une fois votre souscription sélectionné, je vous invite à sélectionner le plan « Standard » puis à cliquer sur « Enable » pour le type de ressource: « Container Registries (Preview) ».

Je vous invite par la suite à cliquer sur « Save » afin de sauvegarder les changements.





Désormais chaque nous image qui sera envoyée dans notre registry, Azure Container Registry sera analysée.

Ci-dessous un exemple avec une image docker vulnérable:

Pour cela, je vous donner rendez-vous dans le portail Azure Security Center, dans l’onglet « Resource Security Hygiene », je vous invite à cliquer sur « Compute & Apps » puis sur « Containers », enfin sélectionner votre registry dans cet exemple « acrmaxi ».

Maxime.

AKS | Pod Security Policy (PSP)

Bonjour,

Dans cet article nous allons voir ensemble comment activer la fonctionnalité de « Pod Security Policy » connue également sous le nom de PSP dans un cluster AKS.

PodSecurityPolicy est un contrôleur d’admission qui confirme si une spécification de pod répond à vos besoins définis. Ces exigences peuvent limiter l’utilisation de conteneurs privilégiés, l’accès à certains types de stockage, ou l’utilisateur/groupe sous lequel le conteneur peut s’exécuter. 

Lorsque vous tentez de déployer une ressource où les spécifications de pod ne répondent pas aux exigences décrites dans la stratégie de sécurité des pods, la requête est refusée. Ce contrôle sur les pods pouvant être planifiés dans le cluster AKS empêche d’éventuelles vulnérabilités de sécurité ou des escalades de privilèges.

Control AspectField Names
Running of privileged containersprivileged
Usage of host namespaceshostPIDhostIPC
Usage of host networking and portshostNetworkhostPorts
Usage of volume typesvolumes
Usage of the host filesystemallowedHostPaths
White list of FlexVolume driversallowedFlexVolumes
Allocating an FSGroup that owns the pod’s volumesfsGroup
Requiring the use of a read only root file systemreadOnlyRootFilesystem
The user and group IDs of the containerrunAsUserrunAsGroupsupplementalGroups
Restricting escalation to root privilegesallowPrivilegeEscalationdefaultAllowPrivilegeEscalation
Linux capabilitiesdefaultAddCapabilitiesrequiredDropCapabilitiesallowedCapabilities
The SELinux context of the containerseLinux
The Allowed Proc Mount types for the containerallowedProcMountTypes
The AppArmor profile used by containersannotations
The seccomp profile used by containersannotations
The sysctl profile used by containersforbiddenSysctls,allowedUnsafeSysctls

Activer la fonctionnalité PSP dans un cluster AKS existant:

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed 
az extension update --name aks-preview

az feature register --name PodSecurityPolicyPreview --namespace Microsoft.ContainerService

az feature list -o table --query "[?contains(name, 'Microsoft.ContainerService/PodSecurityPolicyPreview')].{Name:name,State:properties.state}"

az provider register --namespace Microsoft.ContainerService

# Enable Pod Security Policy
az aks update \
     --resource-group myResourceGroup \
     --name myAKSCluster \
     --enable-pod-security-policy 

Documentations :

AKS | Désactiver le Dashboard de votre cluster

Bonjour,

Dans cet article nous allons voir ensemble comment « désactiver/supprimer » le dashboard de votre cluster AKS.

Pour cela, je vous invite à utiliser la commande suivante:

az aks disable-addons -a kube-dashboard --resource-group Nom_RG --name Nom_AKS_Cluster

Bonne journée,

Maxime.