SUSE Security Admission Controller architecture

L’équipe a conçu SUSE Security Admission Controller pour utiliser les fonctionnalités de noyau de Kubernetes, sans réinventer la roue. Le projet utilise une combinaison de :

SUSE Security Admission Controller fonctionne de manière transparente au sein de l’écosystème Kubernetes. Au cœur, le contrôleur SUSE Security Admission Controller est un contrôleur Kubernetes, surveillant les définitions de ressources personnalisées (CRDs) SUSE Security Admission Controller et configurant les ressources Kubernetes pour les exécuter. Cette intégration garantit que SUSE Security Admission Controller utilise les mécanismes intégrés de Kubernetes, tels que les contrôleurs et les CRDs, pour surveiller, gérer et appliquer les stratégies de sécurité de manière efficace.

SUSE Security Admission Controller utilise des CRDs pour définir et gérer les ressources SUSE Security Admission Controller, qui spécifient les règles pour les validations des demandes d’admission. Ce design permet aux utilisateurs d’étendre les capacités de Kubernetes avec des contrôles d’admission personnalisés, garantissant que l’application des stratégies de sécurité et de conformité est cohérente à travers le cluster.

Lorsqu’il est configuré par le contrôleur SUSE Security Admission Controller, le Service policy-server reçoit les demandes d’admission directement du plan de contrôle Kubernetes, en utilisant ValidationWebhooks et MutatingWebhooks. Cette interaction directe rationalise le processus de contrôle d’admission, réduisant la latence et augmentant l’efficacité de l’application des stratégies.

WebAssembly offre un environnement d’exécution isolé, garantissant que les stratégies s’exécutent en isolation, améliorant ainsi la sécurité et la stabilité du mécanisme d’application des stratégies. Cette isolation empêche les stratégies d’interférer les unes avec les autres ou avec le système hôte, atténuant le risque d’exécution de code malveillant. WebAssembly est portable et efficace, permettant aux stratégies de s’exécuter dans différents environnements sans modification. Cette compatibilité multiplateforme garantit que les stratégies SUSE Security Admission Controller sont polyvalentes, vous permettant de les distribuer et de les exécuter sur divers clusters Kubernetes.

Les stratégies dans SUSE Security Admission Controller sont des artefacts OCI (Open Container Initiative). Cette standardisation facilite la distribution et la version des stratégies. Les stratégies contiennent à la fois les modules WebAssembly pour la logique d’application et les métadonnées nécessaires au fonctionnement du PolicyServer. L’utilisation d’artefacts OCI favorise l’interopérabilité et la facilité de gestion au sein des écosystèmes cloud.

SUSE Security Admission Controller associe des stratégies à son propre webhook de 'validation' ou de 'mutation', permettant une application détaillée des contrôles d’admission. Cette flexibilité permet aux administrateurs d’adapter l’application des stratégies selon des besoins spécifiques, renforçant ainsi la sécurité et la conformité du cluster Kubernetes.

Sur un nouveau cluster, les composants SUSE Security Admission Controller définis sont :

Lorsque le kubewarden-controller remarque la ressource PolicyServer par défaut, il crée un déploiement policy-server du composant PolicyServer.

SUSE Security Admission Controller fonctionne comme un Webhook d’admission Kubernetes. Kubernetes spécifie l’utilisation de Transport Layer Security (TLS) pour sécuriser tous les points de terminaison Webhook. Le kubewarden-controller met en place cette communication sécurisée en :

Ces objets sont tous stockés en tant que ressources Secret dans Kubernetes.

Enfin, kubewarden-controller crée le déploiement policy-server et un service Kubernetes ClusterIP pour l’exposer à l’intérieur du réseau du cluster.

Le kubewarden-controller remarque la nouvelle ressource ClusterAdmissionPolicy et réconcilie le policy-server lié.

Lors de la création, de la modification ou de la suppression d’un ClusterAdmissionPolicy ou AdmissionPolicy, une boucle de réconciliation s’active dans kubewarden-controller, pour le policy-server possédant la stratégie. Cette boucle de réconciliation crée un ConfigMap avec toutes les stratégies liées au policy-server. Ensuite, le déploiement du policy-server commence. Cela entraîne le démarrage de la nouvelle instance policy-server avec la configuration mise à jour.

Au moment du démarrage, le policy-server lit sa configuration à partir du ConfigMap et télécharge toutes les stratégies SUSE Security Admission Controller spécifiées. Vous pouvez télécharger des stratégies SUSE Security Admission Controller à partir de serveurs HTTP distants et de registres de conteneurs.

Vous utilisez des paramètres de configuration de stratégie pour ajuster le comportement des stratégies. Après le démarrage et le téléchargement des stratégies, le policy-server vérifie que les paramètres de stratégie fournis par l’utilisateur sont valides.

Le policy-server valide les paramètres de stratégie en invoquant la fonction validate_setting exposée par chaque stratégie. Il y a une documentation supplémentaire dans la section référence de spécification de la documentation.

Si des stratégies reçoivent de mauvais paramètres de configuration, provenant de la spécification de stratégie des utilisateurs, alors toute demande d’admission évaluée par cette stratégie renvoie une erreur.

Lorsque SUSE Security Admission Controller a configuré toutes les stratégies, le policy-server crée un pool de threads de travail pour évaluer les demandes entrantes en utilisant les stratégies SUSE Security Admission Controller spécifiées par l’utilisateur.

Enfin, le policy-server démarre un serveur HTTPS, écoutant les demandes de validation entrantes. SUSE Security Admission Controller utilise la clé TLS et le certificat créés par le contrôleur SUSE Security Admission Controller pour sécuriser le serveur web.

Le serveur web expose chaque stratégie par un chemin dédié suivant la convention de nommage : /validate/<policy ID>.

Toutes les instances policy-server disposent d’un https://kubernetes.io/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/ [readiness probe], que kubewarden-controller utilise pour vérifier quand le déploiement policy-server est prêt à évaluer un AdmissionReview.

Une fois que SUSE Security Admission Controller marque le déploiement policy-server comme 'uniquement accessible' ou Ready, le kubewarden-controller rend le serveur API Kubernetes conscient de la nouvelle stratégie. Cela se fait en créant soit un objet MutatingWebhookConfiguration soit un objet ValidatingWebhookConfiguration. Dans ce contexte, 'uniquement accessible' signifie que toutes les instances de PolicyServer dans le cluster ont la dernière configuration de stratégie installée. La distinction est un point subtil, mais elle est nécessaire en raison de la manière dont le déploiement des PolicyServers fonctionne. Il est possible d’avoir la même stratégie sur différents PolicyServers avec des configurations différentes.

Chaque stratégie a un MutatingWebhookConfiguration ou un ValidatingWebhookConfiguration dédié pointant vers le point de terminaison Webhook servi par policy-server. Le point de terminaison est accessible à l’URL /validate/<policy ID>.

Maintenant que toute la plomberie nécessaire est terminée, Kubernetes commence à envoyer des demandes de révision d’admission aux bons points de terminaison policy-server.

Un policy-server reçoit l’objet de demande d’admission et, en fonction du point de terminaison qui a reçu la demande, utilise la stratégie correcte pour l’évaluer.

SUSE Security Admission Controller évalue chaque stratégie dans son propre environnement WebAssembly dédié. La communication entre une instance de policy-server (l'"hôte") et la stratégie WebAssembly (l'"invité") utilise le protocole de communication waPC. La description du protocole fait partie de la documentation écriture des stratégies. Les stratégies peuvent également utiliser les interfaces fournies par le Web Assembly System Interface (WASI).