Profilanwendbarkeit: Stufe 1
Kubernetes-Rollen und ClusterRoles bieten Zugriff auf Ressourcen basierend auf Mengen
von Objekten und Aktionen, die an diesen Objekten durchgeführt werden können. Es ist
möglich, eine dieser Optionen auf das Platzhalterzeichen "*" zu setzen, das mit allen
Elementen übereinstimmt.
Die Verwendung von Platzhaltern ist aus Sicherheitsperspektive nicht optimal, da sie
möglicherweise unbeabsichtigten Zugriff ermöglichen kann, wenn neue Ressourcen entweder
als CRDs oder in späteren Versionen des Produkts zur Kubernetes-API hinzugefügt werden.
Das Prinzip der geringsten Privilegien empfiehlt, dass Benutzern nur der für ihre
Rolle erforderliche Zugriff gewährt wird und nichts darüber hinaus. Die Verwendung
von Platzhalter-Rechten gewährt wahrscheinlich übermäßige Rechte auf die Kubernetes-API.
Prüfung
Rufen Sie die Rollen ab, die in jedem Namespace im Cluster definiert sind, und überprüfen
Sie sie auf Platzhalter:
kubectl get roles --all-namespaces -o yaml
Rufen Sie die im Cluster definierten Clusterrollen ab und überprüfen Sie auf Platzhalter:
kubectl get clusterroles -o yaml
Wiederherstellung
Wo möglich, ersetzen Sie die Verwendung von Platzhaltern in Clusterrollen und Rollen
durch spezifische Objekte oder Aktionen.