Profilanwendbarkeit: Stufe 1
Kubernetes-Rollen und ClusterRoles bieten Zugriff auf Ressourcen basierend auf Objektgruppen
und Aktionen, die auf diese Objekte ausgeführt werden können. Es ist möglich, eine
dieser Rollen auf das Platzhalterzeichen "*" zu setzen, das alle Elemente abdeckt.
Die Verwendung von Platzhaltern ist aus Sicherheitssicht nicht optimal, da sie möglicherweise
unbeabsichtigten Zugriff gewähren kann, wenn neue Ressourcen entweder als CRDs oder
in späteren Versionen des Produkts zur Kubernetes-API hinzugefügt werden.
Das Prinzip der minimalen Berechtigung empfiehlt, dass Benutzern nur der Zugriff gewährt
wird, der für ihre Rolle erforderlich ist, und nichts darüber hinaus. Die Verwendung
von Platzhalter-Rechten ist wahrscheinlich dazu geeignet, übermäßige Rechte für die
Kubernetes-API zu gewähren.
Prüfung
Rufen Sie die in jedem Namespace im Cluster definierten Rollen ab und überprüfen Sie
sie auf Platzhalter:
kubectl get roles --all-namespaces -o yaml
Rufen Sie die im Cluster definierten Clusterrollen ab und überprüfen Sie auf Platzhalter:
kubectl get clusterroles -o yaml
Wiederherstellung
Wo möglich, ersetzen Sie die Verwendung von Platzhaltern in Clusterrollen und Rollen
durch spezifische Objekte oder Aktionen.