Profilanwendbarkeit: Stufe 1
Servicekontotoken sollten nicht in Pods eingebunden werden, es sei denn, die im Pod
laufende Arbeitslast muss explizit mit dem API-Server kommunizieren.
Das Einbinden von Service-Account-Token in Pods kann eine Möglichkeit für Rechteausweitung
bieten, bei der ein Angreifer in der Lage ist, einen einzelnen Pod im Cluster zu kompromittieren.
Das Vermeiden des Einbindens dieser Token beseitigt diese Angriffsmöglichkeit.
 |
HinweisStandardmäßig wird in allen Pods ein Servicekonto-Token eingebunden.
|
Auswirkung
Pods, die ohne Service-Account-Token eingebunden sind, können nicht mit dem API-Server
kommunizieren, außer wenn die Ressource für nicht authentifizierte Benutzer verfügbar
ist.
Prüfung
Überprüfen Sie Pod- und Service-Account-Objekte im Cluster und stellen Sie sicher,
dass die folgende Option gesetzt ist, es sei denn, die Ressource erfordert ausdrücklich
diesen Zugriff:
Setzen Sie die Variablen SERVICE_ACCOUNT und POD auf die entsprechenden Werte.
automountServiceAccountToken: false
Wiederherstellung
Ändern Sie die Definition von Pods und Dienstkonten, die keine Dienstkontotoken einbinden
müssen, um sie zu deaktivieren.