OKEの保護: スーパー管理者と一般ユーザー (2024/04/19)

OKEの保護: スーパー管理者と一般ユーザー (2024/04/19)

https://medium.com/oracledevs/safeguarding-oke-super-admin-vs-regular-users-3f3c380d194a

投稿者:Ivan Delić

Photo by Jon Tyson on Unsplash




OCI IAMポリシーは、OKEの内部およびセキュリティに大きく影響します。クラスタ・リソースのポリシー動詞(例: 管理または使用)に応じて、ユーザーはスーパー管理者と通常のユーザー・パスを区別します。スーパー管理者はすべての内部Kubernetesリソースに無制限にアクセスでき、通常のユーザーはRBACなどの認可評価に依存します。OKEでは、kubectlを使用する場合、スーパー管理者と通常のユーザーの2つの主要な認可パスが提供されます(次を参照)。


OKEスーパー管理者または通常のユーザー・パス


この図は、スーパー管理者パスに認可プロバイダがなく、RBAC認可モジュールの形式で通常のユーザー・パスに存在していることを示しています。どのように動作するかを理解しましょう。



スーパー管理者ユーザー


スーパー管理者ユーザーは、Kubernetes固有のsystem:mastersグループとの関連付けにより、すべてのKubernetesリソースに無制限にアクセスできます。kubectlアクセスにスーパー管理者権限を使用する場合は、クラスタ・リソースの管理動詞を使用して適切なポリシーを設定することで、これを実現できます。次の例を参照してください。


Allow group <group-name> to manage clusters in compartment <compartment-name>


このポリシーが設定され、kubeconfigが生成されると、APIサーバーの認証プロセスによって、ユーザー・アイデンティティ(system:masters、system:authenticatedおよびユーザーが属するすべてのOCI IAMグループ)に次のグループが関連付けられます。これは、追加の認可プロセスのユーザー・コンテキストになります。それでも、ユーザーがsystem:mastersグループに関連付けられている場合は、Kubernetesの究極のスーパー管理者権限が付与されます。system:masterグループは、KubernetesのハードコードされたBreak-Glassグループであり、Kubernetesクラスタ内のすべてのリソースを管理するための効果的な権限を持ち、RBACまたはその他の認可評価をスキップします。


無制限のアクセスには大きな責任があります。次の章で説明するように、スーパー管理者ユーザーを可能なかぎり使用しないようにすることが重要です。特に、通常のユーザーとして作成したいデプロイヤおよび開発者にとっては重要です。スーパー管理者を賢く使用してください。場合によっては、MFAが有効になっている単一の緊急アクセス・ユーザーとしてのみ使用してください。他のすべてのユーザーは、通常のユーザー・パスに分類されます。



通常ユーザー


通常のユーザーは、RBACを適用してkubectlに到達します。一般的な通常のユーザーを作成するには、クラスタ・リソースの使用動詞を使用して制約付きポリシーを設定する必要があります。次の例を参照してください。


Allow group <group-name> to use clusters in compartment <compartment-name>


使用ポリシーが設定されていて、kubeconfigが生成されると、認証プロセスはユーザーをsystem:authenticatedグループおよびユーザーが属するすべてのOCI IAMグループに関連付けます。通常のユーザーが行うすべてのkubectlリクエストは、RBACなどのいずれかの認可者によってさらに評価されます。RBAC認可プロバイダは、定義されたロールおよびロール・バインディングに基づいて通常のユーザー権限を評価します。すべての通常のユーザーが特定のKubernetesロールのメンバーであり、ポッド、デプロイメント、シークレットなどの選択したリソースへのアクセスを許可するため、信頼とセキュリティが向上します。この戦略を使用して、開発者、デプロイヤなど、様々なユーザー・グループに対してきめ細かいアクセス制御を活用します。RBAC認可プロバイダは、kubectlにアクセスするすべてのユーザーの詳細な制御における標準である必要があります。



まとめ


OKE関連のクラスタ・リソースを介してmanage動詞を使用するOCI IAMポリシーにより、ユーザーはKubernetesリソースへのバインドされていないアクセスでスーパー管理者権限を取得できます。スーパー管理者ユーザーは避け、クラスタ・リソースの使用動詞に基づいて通常のユーザーに焦点を当てる必要があります。通常のユーザーのRBAC評価は、きめ細かいセキュリティー層を提供します。デプロイヤ、開発者およびネームスペース管理者は、RBAC評価がアクティブ化されている通常のユーザーである必要があります。


コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む