如果不与 AAD 集成,AKS 群集是否默认不安全?

【问题标题】:Are AKS clusters insecure by default if not integrated with AAD?如果不与 AAD 集成,AKS 群集是否默认不安全?
【发布时间】:2019-09-04 12:18:19
【问题描述】:

我正在阅读integrating AAD with AKS 上的文档,这似乎不是一个很好的解决方案。它采用在令牌本身中包含组成员声明的方法,但在 JWT 中最多允许 200 个组声明 - 对于大型组织中的用户来说很容易超过,因为声明包括传递组成员资格。有两种更好的方法:

  1. 将安全组与服务主体对象中的角色相关联,然后让 AKS 根据 JWT 中的角色做出授权决策 (docs)
  2. 将 AAD Graph Directory.Read.All 范围添加到 AKS AAD 应用程序,以便 AKS 可以根据请求使用代表流查询组成员身份(需要 AAD 管理员同意,这很烦人,但无论如何)。李>

由于当前的解决方案不符合我们的需求,我不得不问 - 如果我们不能将 AAD 与 AKS 集成,那么如何保护集群?默认不安全吗?

【问题讨论】:

    标签: azure kubernetes azure-aks


    【解决方案1】:

    默认情况下,它使用Kubernetes security model,当您将其与 AAD 集成时,并没有真正改变,您只需将 AAD 原则分配给 Kubernetes 角色。而已。因此,与 AAD 集成相比,它并没有更安全,使用 AAD 原则管理权限比必须在 Kubernetes 中创建用户并授予他们权限更方便

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-11-06
      • 2021-09-06
      • 2020-04-04
      • 1970-01-01
      • 2020-03-22
      • 2019-05-30
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode