Profilanwendbarkeit: Stufe 1
Die Fähigkeit, Pods in einem Namespace zu erstellen, kann eine Reihe von Möglichkeiten
zur Rechteausweitung bieten, wie das Zuweisen privilegierter Dienstkonten zu diesen
Pods oder das Einbinden von hostPaths mit Zugriff auf sensible Daten (sofern keine
Pod-Sicherheitsrichtlinien implementiert sind, um diesen Zugriff einzuschränken).
Daher sollte der Zugriff zum Erstellen neuer Pods auf die kleinstmögliche Benutzergruppe
beschränkt werden.
Die Fähigkeit, Pods in einem Cluster zu erstellen, eröffnet Möglichkeiten zur Rechteausweitung
und sollte, wenn möglich, eingeschränkt werden.
 |
HinweisStandardmäßig haben die folgende Liste von Prinzipalen
create-Berechtigungen für pod-Objekte. \
CLUSTERROLEBINDING SUBJECT TYPE SA-NAMESPACE cluster-admin system:masters Group system:controller:clusterrole-aggregation-controller clusterroleaggregation- controller ServiceAccount kube-system system:controller:daemon-set-controller daemon-set-controller ServiceAccount kube-system system:controller:job-controller job-controller ServiceAccount kube-system system:controller:persistent-volume-binder persistent-volumebinder ServiceAccount kube-system system:controller:replicaset-controller replicaset-controller ServiceAccount kube-system system:controller:replication-controller replication-controller ServiceAccount kube-system system:controller:statefulset-controller statefulset-controller ServiceAccount kube-system |
Auswirkung
Es sollte darauf geachtet werden, den Zugriff auf Pods für Systemkomponenten, die
diesen für ihren Betrieb benötigen, nicht zu entfernen.
Prüfung
Überprüfen Sie die Benutzer, die
create-Zugriff auf pod-Objekte in der Kubernetes-API haben.Wiederherstellung
Wo möglich, entfernen Sie
create-Zugriff auf pod-Objekte im Cluster.