mTLS Autocert
https://habr.com/ru/companies/ruvds/articles/696126/
При публичном веб-браузинге TLS-аутентификация происходит лишь в одном направлении — свои сертификаты показывает только сервер. Передача публичных веб-страниц без аутентификации клиента вполне логична, но не в случае Kubernetes. Если другие субъекты будут получать доступ к уязвимой информации в сервисах/кластерах, то будет логично валидировать личность и таких субъектов тоже.
Повсеместное использование TLS — одна из рекомендаций разработчиков Kubernetes по повышению безопасности и надёжности кластеров.
«TLS должен быть включён у каждого поддерживающего его компонента, чтобы предотвратить сниффинг трафика, проверять идентификацию сервера и (в случае взаимного TLS) проверять идентификацию клиента».
В случае доступа клиентов к уязвимым данным в сервисах/кластерах логично валидировать и личность таких клиентов. Это называется взаимным TLS (mutual TLS, mTLS).
Что такое mutual TLS?
Mutual TLS (mTLS), также называемый двусторонней аутентификацией — это процесс обеспечения безопасности, при котором субъекты перед выполнением обмена данными аутентифицируют друг друга. Это значит, что для установки соединения клиент с сервером должны обменяться своими сертификатами, верифицировать их и использовать. Аутентификация при помощи mTLS — наилучший способ повышения безопасности Kubernetes, он гарантирует, что только аутентифицированные субъекты смогут обмениваться данными с вашими кластерами.
В отличие от VPN и SDN, реализовать mTLS очень просто. Есть только одно препятствие: вам нужны сертификаты, выпущенные вашим собственным сертифицирующим органом (certificate authority, CA). Создание и эксплуатация CA, выпуск сертификатов и их обновление до истечения срока действия может быть сложной задачей. Упрощают весь этот процесс Autocert и Smallstep Certificate Manager.
Небольшое предисловие об инструментах, которые мы будем использовать
▍ Autocert
Autocert — это admission webhook, выполняющий перехват и патчинг запросов на создание pod при помощи YAML для инъецирования init container и sidecar, занимающихся получением и обновлением сертификатов. Иными словами, это опенсорсный аддон Kubernetes, автоматически инъецирующий TLS-сертификаты непосредственно в контейнеры.
Autocert полезен, когда вы не доверяете складу данных, в котором хранятся Kubernetes TLS Secrets (часто это etcd
). В зависимости от конфигурации склада данных, данные могут быть зашифрованы или не зашифрованы. При помощи Autocert сертификаты инъецируются непосредственно в контейнеры, а приватные ключи никогда не передаются по сети и не сохраняются в etcd
.
Для получения сертификата достаточно лишь сообщить autocert имя рабочей нагрузки при помощи аннотации pod autocert.step.sm/name
. Autocert выпустит сертификат для pod, сделав его доступным в var/run/autocert.step.sm
, и будет его обновлять. Однако для выпуска сертификатов требуется certificate authority. И здесь на помощь приходит Smallstep Certificate Manager. В данном руководстве мы расскажем, как сконфигурировать autocert для использования Certificate Manager в качестве вышестоящего CA.
▍ Smallstep Certificate Manager
Smallstep Certificate Manager — это расширяемая платформа для инфраструктуры публичных ключей (public key infrastructure, PKI) DevSecOps, обеспечивающая работу certificate authority. Также он предоставляет функции уведомлений и алертов об истечении срока работы, дэшборда управления, Active Revocation и другие возможности. При помощи Smallstep Certificate Manager вы сможете с лёгкостью выпускать приватные сертификаты TLS и SSH для всех рабочих нагрузок/разработчиков.
Строго говоря, Kubernetes не имеет в комплекте CA. Он имеет точки интеграции, позволяющие использовать любой CA. Поэтому мы будем использовать Smallstep Certificate Manager, поскольку его создают и поддерживают разработчики Autocert.
Перед началом работы
Прежде чем переходить к главному, вам нужно:
Создать бесплатный аккаунт Smallstep Certificate Manager
Создать Certificate Authority в Certificate Manager, который будет использоваться в качестве вышестоящего CA
Установить step CLI. Для взаимодействия с Certificate Manager через терминал вам понадобится команда CLI
step
на локальной машине. Она используется для многих стандартных криптоопераций. Список всех команд можно посмотреть здесь.
Настройка Autocert
▍ 1. Bootstrap с выбранным CA
Бутстреппинг с выбранным Authority конфигурирует вашу рабочую станцию так, чтобы она доверяла корневому сертификату CA. Выполните следующую команду:
▍ 2. Добавление Provisioner
Provisioner — это методы, используемые для верификации подлинности запросов на подписание сертификатов и свидетельствующие об идентификации сервиса или человека, выполняющего запрос. Autocert требует JWK provisioner. Показанная ниже команда создаёт стандартный JWK provisioner с именем autocert
:
Необходимо будет указать пароль для шифрования приватного ключа provisioner.
▍ 3. Создание ConfigMaps и секрета для Autocert
В Kubernetes создайте пространство имён для autocert:
Результат выполнения команды:
Используйте тот же пароль, который вы ввели при создании provisioner, чтобы создать секрет.
Результат выполнения команды:
Теперь создайте ConfigMap
, содержащую папку конфигурации:
Результат выполнения команды:
Сделаем то же самое для папки certs
, содержащей корневой сертификат нашего CA:
Результат выполнения команды:
▍ 4. Развёртывание Autocert
Скачайте YAML-конфигурацию Autocert:
Измените caUrl
в ConfigMap autocert-config
только что скачанного файла .yaml. Замените значение https://ca.step.svc.cluster.local
на URL вашего Certificate Manager authority, например, https://autocert.areed.ca.smallstep.com
.
Затем выполните следующую команду:
Результат выполнения команды:
Теперь давайте развернём Autocert. Выполните следующую команду:
Результат выполнения команды:
Далее давайте развернём admission webhook. В этом блоке в качестве части клиентской конфигурации для Autocert мы включаем корневой сертификат CA (в base64).
Результат выполнения:
Теперь Autocert добавлен в кластер и сконфигурирован. Можно выполнить следующую команду, чтобы убедиться в том, что pod-ы autocert помечены правильно.
Использование Autocert для включения mTLS между сервером и клиентом
Давайте создадим тестовое приложение, которое будет использовать Autocert. Это веб-сервер уровня «Hello World», использующий взаимную TLS-сертификацию.
Так как эта среда находится в пространстве имён по умолчанию, пометим её, чтобы приказать Autocert выпускать и обновлять сертификаты для новых pod-ов аннотацией autocert.step.sm/name
:
Результат выполнения команды:
Чтобы протестировать систему, мы создадим среду с аннотацией pod-а autocert.step.sm/name
. В этом примере используется имя localhost
, потому что мы будем выполнять тестирование со своей рабочей станции.
Результат выполнения:
Для тестирования перенаправим localhost:8443
на порт 443 pod-а.
Результат выполнения команды:
В течение следующих этапов оставим это запущенным на фоне.
Теперь выпустим сертификат клиента, подписанный нашим CA. Это нужно, чтобы аутентифицироваться на тестовом сервере «Hello mTLS».
После этого у вас должно получить проверить, что всё это работает:
Результат выполнения команды:
Заключение
Обеспечение безопасности кластера Kubernetes может быть сложной задачей. Вне зависимости от сетевой архитектуры и политик, автоматизация безопасности всегда повышает безопасность и надёжность рабочей нагрузки кластера.
Autocert вместе с Smallstep Certificate Manager упрощает выпуск сертификатов для среды Kubernetes. Для того, чтобы начать выпускать TLS-сертификаты Kubernetes своих микросервисов и защититься от злоумышленников, достаточно лишь немного YAML.
Last updated