默认安全:天翼云云容器引擎CCSE集群内所有系统组件均依据容器安全最佳实践进行了组件配置上的加固,同时保证系统组件镜像没有严重级别的CVE漏洞。每个新建的集群需指定一个与之对应的安全组。创建的集群默认不允许公网SSH连入。
身份管理:CCSE集群内所有组件之间的通讯链路均需要TLS证书校验,保证全链路通讯的数据传输安全。子账号用户均可以通过控制台或OpenAPI的方式获取连接指定集群API Server的Kubeconfig访问凭证,具体操作,请参见获取集群KubeConfig接口。CCSE负责维护访问凭证中签发的身份信息,对于可能泄露的已下发Kubeconfig,可以及时进行吊销操作。
细粒度访问控制:基于Kubernetes RBAC实现了对CCSE集群内Kubernetes资源的访问控制,它是保护应用安全的一个基本且必要的加固措施。CCSE在控制台的授权管理页面中提供了命名空间维度的细粒度RBAC授权能力,主要包括以下几点:
1)根据企业内部不同人员对权限需求的不同,系统预置了管理员、运维人员、开发人员等对应的RBAC权限模板,降低了RBAC授权的使用难度。
2)支持角色扮演用户的授权。
3)支持绑定用户在集群中自定义的ClusterRole。
CCSE同时支持以组件管理的方式安装Gatekeeper组件,提供基于OPA策略引擎的细粒度访问控制能力。