Ansichten:
Profilanwendbarkeit: Stufe 1 - Masterknoten
Die Fähigkeit, Pods in einem Namespace zu erstellen, kann eine Reihe von Möglichkeiten zur Rechteausweitung bieten, wie z. B. das Zuweisen privilegierter Dienstkonten zu diesen Pods oder das Einbinden von hostPaths mit Zugriff auf sensible Daten (es sei denn, Pod-Sicherheitsrichtlinien werden implementiert, um diesen Zugriff einzuschränken).
Daher sollte der Zugriff zum Erstellen neuer Pods auf die kleinstmögliche Benutzergruppe beschränkt werden.
Die Fähigkeit, Pods in einem Cluster zu erstellen, eröffnet Möglichkeiten zur Rechteausweitung und sollte, wenn möglich, eingeschränkt werden.
Hinweis
Hinweis
Standardmäßig haben in einem kubeadm-Cluster die folgende Liste von Prinzipalen create-Berechtigungen für pod-Objekte.

Auswirkung

Es sollte darauf geachtet werden, den Zugriff auf Pods für Systemkomponenten, die diesen für ihren Betrieb benötigen, nicht zu entfernen.

Prüfung

Überprüfen Sie die Benutzer, die Zugriffsrechte zum Erstellen von Pod-Objekten in der Kubernetes-API haben.

Wiederherstellung

Wo möglich, entfernen Sie den Zugriff von create auf pod-Objekte im Cluster.