RBAC Proxy 容器文档

镜像概述

RBAC Proxy容器是专为Cloud One容器安全设计的访问控制代理组件，提供基于角色的访问控制（RBAC）代理服务。该容器通过与Cloud One容器安全平台集成，实现对容器化环境中服务访问的细粒度权限控制，确保只有授权角色能访问特定容器资源，增强容器环境的整体安全性。

核心功能与特性

基于角色的访问控制（RBAC）

• 支持预定义角色与权限映射，实现细粒度访问控制
• 动态权限验证，根据用户角色实时判断访问权限

与Cloud One容器安全深度集成

• 无缝对接Cloud One容器安全平台，同步安全策略与角色配置
• 支持从Cloud One控制台管理RBAC策略，实现集中化权限管控

安全访问代理

• 作为中间层代理访问请求，验证权限后转发至目标服务
• 拦截未授权访问请求，防止越权操作

访问日志与审计

• 记录所有访问请求详情（包括访问主体、请求资源、权限验证结果）
• 支持日志导出，满足合规审计需求

轻量级设计

• 容器镜像体积小，资源占用低，适合在各类容器环境中部署
• 支持水平扩展，可根据访问量动态调整代理实例数量

使用场景

容器化应用访问控制

适用于Kubernetes、Docker Swarm等容器编排环境，对微服务、数据库等容器化服务进行访问权限控制。

Cloud One安全平台用户

已部署Cloud One容器安全的用户，需通过RBAC机制管理容器服务访问权限，实现安全策略落地。

多团队协作环境

在多团队共享的容器集群中，通过角色划分实现团队间资源隔离，如开发团队仅能访问测试环境服务，运维团队可访问全环境资源。

合规性要求场景

需满足行业合规标准（如PCI-DSS、HIPAA）的容器环境，通过访问日志与权限控制满足审计要求。

使用方法与配置说明

前提条件

• 已部署Cloud One容器安全平台并获取有效API密钥
• 容器运行环境支持Docker 19.03+或兼容的容器运行时
• 网络环境允许代理容器与Cloud One平台API端点通信（需开放443端口）

快速启动（Docker Run）

docker run -d \
  --name rbac-proxy \
  -p 8080:8080 \
  -e CLOUD_ONE_API_KEY="your-cloud-one-api-key" \
  -e RBAC_POLICY_SYNC_INTERVAL="300" \
  -e LOG_LEVEL="info" \
  -v /host/path/to/rbac/policies:/etc/rbac/policies \
  trendmicro/rbac-proxy:latest

环境变量配置

RBAC策略文件格式

本地策略文件（如default.yaml）示例：

roles:
  - name: "service-admin"
    permissions: ["service:create", "service:delete", "service:update", "service:read"]
  - name: "service-viewer"
    permissions: ["service:read"]
bindings:
  - role: "service-admin"
    subjects: 
      - "user:***"
      - "group:security-team"
  - role: "service-viewer"
    subjects: 
      - "user:***"
      - "group:dev-team"

与Cloud One容器安全集成流程

1. 在Cloud One控制台创建API密钥，授予"RBAC策略管理"权限
2. 部署RBAC Proxy容器时配置CLOUD_ONE_API_KEY与CLOUD_ONE_REGION环境变量
3. 容器启动后自动连接Cloud One平台，同步RBAC策略至本地
4. 通过Cloud One控制台修改RBAC策略后，代理容器将在RBAC_POLICY_SYNC_INTERVAL时间内自动更新策略

访问验证

部署完成后，可通过向代理服务发送请求验证权限控制：

# 示例：访问受保护的目标服务（需替换为实际代理地址与目标服务路径）
curl [***] \
  -H "Authorization: Bearer {user-jwt-token}"

• 授权请求：返回目标服务响应（HTTP 200）
• 未授权请求：返回权限拒绝响应（HTTP 403）并记录访问日志