SUSE Security Admission Controller casos de uso

Despliego SUSE Security Admission Controller y su configuración predeterminada con su kubewarden-defaults gráfico de Helm, en el espacio de nombres kubewarden. Esto despliega un PolicyServer predeterminado y las ClusterAdmissionPolicies recomendadas en el espacio de nombres kubewarden, únicamente bajo el control del operador de Kubernetes.

Como operador, puedo añadir más PolicyServers bajo un espacio de nombres gestionado (como kubewarden) para distribuir la carga y la tolerancia a fallos.

Los operadores pueden desplegar más ClusterAdmissionPolicies y ClusterAdmissionPolicyGroups. Estos verifican todos los recursos de Kubernetes, para cualquier tipo de operación (GET, CREATE, UPDATE, PATCH, DELETE, PROXY). Esto asegura que las operaciones en el clúster sean seguras y cumplan con las normativas.

Son las siguientes:

Las expectativas de seguridad cambian con el tiempo. Las implementaciones que anteriormente eran correctas en el clúster pueden ya no serlo. Sin embargo, Admission Controller ya ha aceptado esas operaciones en el clúster. En estas situaciones, el operador puede desplegar la función Audit Scanner, un CronJob que se ejecuta periódicamente y evalúa los recursos existentes en el clúster. Esto verifica que el clúster sea seguro y cumpla con las normativas incluso a lo largo del tiempo.

El operador puede configurar políticas en modo monitor en lugar de modo protect, para aprender del estado del clúster sin bloquear operaciones.

Los operadores pueden recibir información de las políticas y de la pila Admission Controller consumiendo registros e información de OpenTelemetry para métricas y trazado.

Como operador, despliego Admission Controller como en el Caso A para un conjunto de políticas de mi elección. Esto me proporciona una base segura en el clúster, que otros usuarios no pueden evadir.

Al igual que en el Caso A, tengo diferentes personas por espacios de nombres: quizás equipos, administradores de equipo, implementaciones de prueba y otros. Permito que cada administrador de espacio de nombres se autogestione permitiéndoles desplegar PolicyServers en su espacio de nombres, junto con AdmissionPolicies y AdmissionPolicyGroups específicos del espacio de nombres. Esta arquitectura significa que ellos controlan su PolicyServer y políticas. Las políticas solo se aplican a su espacio de nombres, y restringen el uso de recursos a su espacio de nombres.

También permite al operador segregar inquilinos ruidosos, reservando PolicyServers eficientes para aquellos inquilinos y tareas que necesitan un alto rendimiento y baja latencia, por ejemplo.

Admission Controller logra esto al soportar cualquier lenguaje que compile a WebAssembly como posibles lenguajes de destino para las políticas. Esto significa que los autores de políticas pueden reutilizar sus flujos de trabajo (git, CI, editores, revisión por pares, etc.), y herramientas: lenguajes, bibliotecas de lenguajes, arneses de prueba y marcos, etc.

Permite reutilizar Lenguajes Específicos de Dominio (como Rego, CEL, YAML+macros de Kyverno) o lenguajes de propósito general (como Go, Rust, C#, Javascript, cualquiera que compile a Wasm). Admission Controller proporciona SDKs para algunos lenguajes como soporte de primera clase.

Las políticas de Admission Controller pueden ser simples o complejas conscientes del contexto. Las políticas conscientes del contexto también se utilizan para interactuar con cargas de trabajo separadas (por ejemplo, para obtener información de un servicio de escaneo de imágenes de larga duración).

Como integrador de sistemas, quiero reutilizar Admission Controller, y posiblemente reutilizar otras soluciones incluyéndolas en Admission Controller.

Como integrador de sistemas, puedo reutilizar partes de Admission Controller. Por ejemplo, el policy-server, para regular recursos, internos o externos al clúster de Kubernetes a través de la función "políticas en bruto".

Los integradores de sistemas pueden optar por desplegar el kubewarden-controller o gestionar los CRDs por su cuenta. Pueden elegir desplegar o escalar el Escáner de Auditoría según sea necesario.

Los integradores de sistemas pueden crear nuevos componentes. Por ejemplo, un escáner de imágenes, y comunicarse con él a través de una política consciente del contexto, sin tener una implementación monolítica en un controlador de Kubernetes.

Admission Controller no pretende: