Segurança para Nós Windows
Esta página descreve considerações de segurança e boas práticas específicas para o sistema operacional Windows.
Proteção para dados Secret nos Nós
No Windows, os dados do Secret são escritos em texto não-encriptado no armazenamento local do nó (em comparação ao uso de tmpfs / sistemas de arquivo em memória no Linux). Como um operador do cluster, você deve tomar as duas medidas adicionais a seguir:
- Use ACLs em arquivos para proteger a localização do arquivo Secrets.
- Aplique criptografia a nível de volume usando BitLocker.
Usuários dos Contêineres
RunAsUsername pode ser utilizado em Pods ou contêineres com Windows para executar os processos do contêiner como usuário específico. Isto é aproximadamente equivalente a RunAsUser.
Os contêineres Windows oferecem duas contas de usuário padrão, ContainerUser e ContainerAdministrator. As diferenças entre estas duas contas de usuário são descritas em When to use ContainerAdmin and ContainerUser user accounts dentro da documentação da Microsoft Secure Windows containers.
Os usuários locais podem ser adicionados às imagens do contêiner durante o processo de criação do mesmo.
Nota:
- Imagens baseadas no Nano Server rodam como
ContainerUser
por padrão. - Imagens baseadas no Server Core rodam como
ContainerAdministrator
por padrão.
Contêineres Windows também podem rodar como identidades do Active Directory usando Group Managed Service Accounts
Isolamento de segurança a nível do Pod
Mecanismos de contexto de segurança de Pod específicos para Linux (como SELinux, AppArmor, Seccomp, ou capabilities customizados para POSIX) não são suportados nos nós com Windows.
Contêineres privilegiados não são suportados no Windows. Em vez disso, contêineres HostProcess podem ser usados no Windows para realizar muitas das tarefas realizadas por contêineres privilegiados no Linux.