云原生安全实践：在K8s集群中实施零信任网络策略

云原生安全实践：在K8s集群中实施零信任网络策略

引言：从边界防御到零信任

在传统数据中心架构中，安全模型通常基于“城堡与护城河”的边界防御理念，即信任内部网络，重点防范外部威胁。然而，在云原生和微服务架构中，这种模型已显不足。Kubernetes集群内部的东西向流量（服务间通信）往往缺乏细粒度控制，一旦攻击者突破边界，便可在集群内横向移动。

零信任安全模型的核心原则是“从不信任，始终验证”。它要求对每个请求进行身份验证和授权，无论其来源是内部还是外部。在K8s环境中实施零信任网络策略，意味着我们需要精细控制Pod之间的通信，实现最小权限访问。

Kubernetes网络策略基础

Kubernetes NetworkPolicy资源允许你定义Pod组之间以及与其他网络端点之间的通信规则。它通过标签选择器来指定受影响的Pod，并控制入口（Ingress）和出口（Egress）流量。

需要注意的是，NetworkPolicy本身只是一个声明式API，其实际执行依赖于集群中安装的CNI（容器网络接口）插件，例如Calico、Cilium或Weave Net等，这些插件必须支持NetworkPolicy。

实施零信任网络策略的关键步骤

1. 默认拒绝所有流量

实施零信任的第一步是建立“默认拒绝”的基线。创建一个默认的NetworkPolicy，拒绝所有Pod的入口和出口流量，然后根据需要逐步开放必要的通信路径。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-all
  namespace: production
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

这个策略应用于production命名空间中所有Pod（podSelector: {}），并且同时限制入口和出口流量。应用此策略后，所有Pod间及对外的通信将被阻断。

2. 基于角色的细粒度访问控制

在默认拒绝的基础上，根据应用架构和业务需求，定义允许的通信规则。例如，只允许前端Pod访问特定的后端API服务，并且后端服务只能访问其所需的数据库。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-to-api
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: backend-api
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080

这个策略允许带有app: frontend标签的Pod访问app: backend-apiPod的8080端口。

3. 控制出口流量

除了入口控制，零信任也要求对出口流量进行管控，防止被入侵的Pod对外发起恶意连接或数据泄露。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-egress-to-external-dns
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: backend-api
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 8.8.8.8/32
    ports:
    - protocol: UDP
      port: 53
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0
        except:
        - 10.0.0.0/8
        - 192.168.0.0/16
    ports:
    - protocol: TCP
      port: 443

这个策略允许backend-api Pod访问特定的外部DNS服务器（8.8.8.8）的53端口，以及除了私有IP段外的所有外部443端口（HTTPS），用于调用外部API。

策略管理与验证工具

随着策略数量增多，管理和验证策略的准确性与有效性变得复杂。dblens SQL编辑器（https://www.dblens.com）虽然主要面向数据库操作，但其强大的查询和结果分析能力，可以辅助安全团队。例如，你可以将集群中所有NetworkPolicy导出为结构化数据，在dblens中编写SQL进行交叉分析，快速找出配置冲突、未覆盖的Pod或过于宽松的规则。

此外，像QueryNote（https://note.dblens.com）这样的协作笔记工具，非常适合团队记录策略设计决策、变更日志和审计结果。你可以将复杂的网络拓扑图、策略矩阵表以及从dblens SQL编辑器分析得到的关键发现记录在QueryNote中，与运维和安全团队成员实时共享和讨论，确保策略实施的透明度和一致性。

结合服务网格增强零信任

对于更高级的场景，可以结合服务网格（如Istio）实施零信任。服务网格在应用层（L7）提供了更强大的能力，如基于JWT的身份认证、细粒度的流量路由和丰富的遥测数据。

以下是一个Istio AuthorizationPolicy的示例，它要求访问backend-api服务的流量必须携带有效的JWT令牌：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: require-jwt
  namespace: production
spec:
  selector:
    matchLabels:
      app: backend-api
  action: ALLOW
  rules:
  - from:
    - source:
        requestPrincipals: ["*@your-issuer.com"]
    to:
    - operation:
        methods: ["GET", "POST"]
        paths: ["/api/*"]

总结

在Kubernetes集群中实施零信任网络策略是一个渐进的过程，其核心在于将“默认允许”转变为“默认拒绝”，并基于身份和最小权限原则构建细粒度的访问控制。

通过合理运用Kubernetes NetworkPolicy，并结合服务网格等更高级的技术，可以显著提升云原生环境的内在安全性，有效遏制攻击者在集群内的横向移动。

同时，借助像dblens提供的数据库工具链（如SQL编辑器和QueryNote），安全与运维团队可以更高效地管理、分析和协作处理这些日益复杂的安全策略，将零信任的安全理念扎实落地。

安全之路，始于足下。从今天开始为你的关键命名空间部署第一个“默认拒绝”策略吧。