OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text of their respective owners. 摘要 摘要 本文档提供在 OpenShift Container Platform 中定义身份提供程序的说明。它还讨论如何配置基于角 色的访问控制来保护集群的安全。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 录 第 第 1 章 章 身份 身份验证 验证和授 和授权 权概述 概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 1.2. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份验证 1.3. 关于 OPENSHIFT CONTAINER PLATFORM 中的授权 第 第 2 章 章 了解身份 了解身份验证 验证

窃取高权限凭证...............................42 图 16 未授权访问结果...............................................................................45 图 17 绕过 Istio JWT 认证访问结果.......................................... 阶段： （1）安全赋能于云原生体系，构建云原生的安全能力。当前云原生技术发 展迅速，但相应的安全防护匮乏，最基础的镜像安全和安全基线都存在很大的安 全风险。因此，应该将现有的安全能力，如隔离、访问控制、入侵检测、应用安 全等，应用于云原生环境，构建安全的云原生系统； （2）安全产品具有云原生的新特性，如轻/快/不变的基础设施、弹性服务 云原生安全威胁分析与能力建设白皮书 14 编排 防护对象产生变化 安全管理的边界扩展到了容器层面，需要采用新的安全策略和工具来保护容 器的安全性，如容器镜像的验证和加密、容器漏洞扫描和运行时监测等。  架构的变化 多云及混合云下的应用架构及工作负载更加复杂，需要采用分布式安全策略 和技术，如服务间的身份验证和授权、服务网格的加密通信、微服务的监测和异 常检测等。  管理模式的变化 云原生安全威胁分析与能力建设白皮书 15 云

Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 自研代码 容器环境镜像风险 软件漏洞、恶意程序、敏感信息泄漏、不安全配 置、仓库漏洞、不可信镜像 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 实践现状 SBOM的应用现状 • 根据《Anchore 2022 软件供应链安全报告》，尽管 SBOM 在提供对云原生应用可见性方面 发挥着基础性作用，但只有三分之一的组织遵循 SBOM 最佳实践。 SBOM的应用现状 云原生基于“责任自负”的开源世界 云原生开源应用漏洞 OpenSCA扫描结果 链攻击，比2021年增长三倍”——Gartner 云原生时代下的软件供应链攻击 软件供应链安全事件频发，“核弹级”第三方组件漏洞的影响面和危害大 2020 年12月，美国企业和政府网络突遭“太阳风 暴”攻击。黑客利用太阳风公司（SolarWinds） 的网管软件漏洞，攻陷了多个美国联邦机构及财富 500 强企业网络。2020 年 12 月 13 日，美国政府 确认国务院、五角大楼、国土安全部、商务部、财

Istio 项目，为创建部署的服务提供发现、负载均衡、服务对服务身份验证、故障 恢复、指标和监控的服务网络提供了便捷的方法。服务网格还提供更复杂的操作功能，其中包括 A/B 测 试、canary 发行版本、访问控制以及端到端验证。 1.1.2. 核心功能 Red Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH Hat OpenShift Service Mesh 版本 版本 2.2.3 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.1.1. Red Hat OpenShift Service

分布式追踪 4 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights 仍然会被存储，但不会在 Jaeger UI 中显 示。(TRACING-3139) 目前，分布式追踪平台(Tempo)在 IBM Z (s390x)架构中会失败。(TRACING-3545) 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 7. 获取支持 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights

新的 挪进 / 挪出 没有变化 © Thoughtworks, Inc. All Rights Reserved. 采纳 1. 设计系统 2. 轻量级的 RFCs 方法 试验 3. 具有可访问性意识的组件测试设计 4. 攻击路径分析 5. 自动合并依赖项更新 PR 6. 针对 FAIR 数据的数据产品思维 7. OIDC for GitHub Actions 8. 使用 18 42 43 44 51 54 56 61 45 暂缓 暂缓 评估 评估 试验 试验 采纳 采纳 采纳 1. 设计系统 2. 轻量级的 RFCs 方法 试验 3. 具有可访问性意识的组件测试设计 4. 攻击路径分析 5. 自动合并依赖项更新 PR 6. 针对 FAIR 数据的数据产品思维 7. OIDC for GitHub Actions 8. 使用 间的推移而变得越来越长，类似于传统的解决方案架 构文件一样最终被归档和遗忘。 3. 具有可访问性意识的组件测试设计 试验 在软件交付进程中，可访问性要求是 Web 组件测试阶段的一种考察指标。尽管诸如 chai-a11y-axe 的测试框架 插件 API 已提供了基础的可访问性断言，具有可访问性意识的组件测试设计依然能够帮助测试进一步检验屏幕 阅读器和其他辅助技术所需的全量语义元素。

上运行的集群的用户定义的出站路由 1.2.2.5. 将集群安装到 vSphere 版本 7.0 1.2.2.6. 使用安装程序置备的基础架构在裸机上安装集群 1.2.2.7. 处理 AWS、Azure 和 GCP 上的云 API 访问的凭证请求 1.2.2.8. 指定 control plane 和计算节点的磁盘类型和大小 1.2.2.9. 对于 Azure 安装，增加了 control plane 节点的最小磁盘大小 1.2 Platform 4.6.20 程序漏洞修复更新 1.8.17.1. 更新 1.8.18. RHBA-2021:0753 - OpenShift Container Platform 4.6.21 程序漏洞修复更新 1.8.18.1. 更新 1.8.19. RHBA-2021:0825 - OpenShift Container Platform 4.6.22 程序漏洞修复更新 1.8.19.1 和 和 GCP 上的云 上的云 API 访问 访问的凭 的凭证请 证请求 求 现在，install-config.yaml 文件中有一个新的 credentialsMode 字段，它定义了如何为 OpenShift Container Platform 组件处理 CredentialsRequest 自定义资源，以便在 AWS、Azure 和 GCP 上访问云 API。现在，有 3 个可以配置的模式：

义的 的标签 标签和 和标签 标签（技 （技术预览 术预览） ） 现在，您可以在 Google Cloud Platform (GCP) 中配置用户定义的标签和标签，以对资源进行分组，以及 管理资源访问和成本。用户定义的标签只能应用到使用 OpenShift Container Platform 安装程序及其核心 组件创建的资源。用户定义的标签只能应用到使用 OpenShift Container Container Platform 4.14 中，为 oc login 命令提供了一个新的 oc 命令行 (CLI) 选项 -- web。 有了这个增强，您可以使用 Web 浏览器登录，因此您不需要将访问令牌插入到命令行中。 如需更多信息，请参阅使用 Web 浏览器登录到 OpenShift CLI。 1.3.5.3. oc new-build 的增 的增强 强 新的 oc CLI 标志 --import-mode CSI 卷 卷 功能 功能 IBM Power® IBM Z® 和 和 IBM® LinuxONE 克隆 支持 支持 扩展 支持 支持 Snapshot 支持 支持 1.3.8. 认证和授权 1.3.8.1. SCC 抢 抢占防止 占防止 在这个版本中，您可以要求工作负载使用特定的安全性上下文约束 (SCC)。通过设置特定的 SCC，您可 以防止您希望在集群中被另一个 SCC 抢占的

Platform 4.13 CI/CD 8 4 5 6 1 2 相对于构建过程能够处理文件的构建根目录的目录。 要从所引用镜像中复制文件的位置。 提供的可选 secret，如需要凭证才能访问输入镜像。 注意 注意 如果您的集群使用 ImageDigestMirrorSet、ImageTagMirrorSet 或 ImageContentSourcePolicy 对象来配置存储库镜像，则只能使用镜像的 的字符串，此文件将覆盖源存储库中可 能存在的任何 Dockerfile。 如果 ref 字段注明拉取请求，则系统将使用 git fetch 操作，然后 checkout FETCH_HEAD。 如果未提供 ref 值，OpenShift Container Platform 将执行浅克隆 ( --depth=1)。这时，仅下载与默认分支 （通常为 master）上最近提交相关联的文件。这将使存储库下载速度加快，但不会有完整的提交历史记 警告 警告 如果 Git 克隆操作要经过执行中间人 (MITM) TLS 劫持或重新加密被代理连接的代 理，该操作不起作用。 2.3.4.1. 使用代理 使用代理 如果 Git 存储库只能使用代理访问，您可以在构建配置的 source 部分中定义要使用的代理。您可以同时 配置要使用的 HTTP 和 HTTPS 代理。两个字段都是可选的。也可以在 NoProxy 字段中指定不应执行代 理的域。 注意

可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、 RASP应用安全、数据安全、态势感知与风险隔离 由于云原生托管的应用是碎片化的，环境变化也是碎片化的，而且其业务类型越来越多，比如已经延展到边 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等） 进行静态扫描，尽可能前置，在IDE编写代码或者提交代码时进行，将极 大优化整体效率和成本 可以无视环境随时可以进行，覆盖漏洞类型全面， 可以精确定位到代码段 路径爆炸问题，并一定与实际相符合，误报率较 高。 DAST(动态安全应用 程序安全测试) 黑盒测试，通过模拟业务流量发起请求，进行模糊测试，比如故障注入 或者混沌测试 务报警进而干扰测试，同时由于污点跟踪测试模 式，IAST可以像SAST一样精准的发现问题点 SCA（软件成分分析） 有大量的重复组件或者三方库的依赖，导致安全漏洞被传递或者扩散， SCA就是解决此类问题的办法，通过自动化分析组件版本并与漏洞库相 比较，快速发现问题组件，借助积累的供应链资产，可以在快速定位的 同时，推动业务快速修复。 安全左移的一种，在上线前发现依赖组件的安全 问题，快速借助供应链资产库，帮助业务修复问