Profilanwendbarkeit: Stufe 1 - Masterknoten
Die Kubernetes-API speichert Geheimnisse, bei denen es sich um Dienstkontotoken für
die Kubernetes-API oder Anmeldeinformationen handeln kann, die von Workloads im Cluster
verwendet werden. Der Zugriff auf diese Geheimnisse sollte auf die kleinstmögliche
Benutzergruppe beschränkt werden, um das Risiko einer Rechteausweitung zu verringern.
Unangemessener Zugriff auf Geheimnisse, die im Kubernetes-Cluster gespeichert sind,
kann einem Angreifer zusätzlichen Zugriff auf den Kubernetes-Cluster oder externe
Ressourcen ermöglichen, deren Anmeldedaten als Geheimnisse gespeichert sind.
 |
HinweisStandardmäßig haben in einem kubeadm-Cluster die folgende Liste von Prinzipalen
get-Berechtigungen für secret-Objekte. |
Auswirkung
Es sollte darauf geachtet werden, den Zugriff auf Geheimnisse für Systemkomponenten,
die diesen für ihren Betrieb benötigen, nicht zu entfernen.
Prüfung
Überprüfen Sie die Benutzer, die
get, list oder watch Zugriff auf secrets-Objekte in der Kubernetes-API haben.Wiederherstellung
Wo möglich, entfernen Sie den Zugriff von
get, list und watch auf secret-Objekte im Cluster.