Profilanwendbarkeit: Stufe 1
Die Fähigkeit, Pods in einem Namespace zu erstellen, kann eine Reihe von Möglichkeiten
zur Rechteausweitung bieten, wie z. B. das Zuweisen privilegierter Dienstkonten zu
diesen Pods oder das Einbinden von hostPaths mit Zugriff auf sensible Daten (es sei
denn, Pod-Sicherheitsrichtlinien werden implementiert, um diesen Zugriff einzuschränken).
Daher sollte der Zugriff zum Erstellen neuer Pods auf die kleinstmögliche Benutzergruppe
beschränkt werden.
Die Fähigkeit, Pods in einem Cluster zu erstellen, eröffnet Möglichkeiten zur Rechteausweitung
und sollte, wenn möglich, eingeschränkt werden.
 |
HinweisStandardmäßig haben die folgende Liste von Prinzipalen
create-Berechtigungen für pod-Objekte |
Auswirkung
Es sollte darauf geachtet werden, den Zugriff auf Pods für Systemkomponenten, die
diesen für ihren Betrieb benötigen, nicht zu entfernen.
Prüfung
Überprüfen Sie die Benutzer, die Zugriffsrechte zum Erstellen von Pod-Objekten in
der Kubernetes-API haben.
Wiederherstellung
Wo möglich, entfernen Sie den Zugriff auf
pod-Objekte im Cluster für create. CLUSTERROLEBINDING SUBJECT
TYPE SA-NAMESPACE
cluster-admin system:masters
Group
system:controller:clusterrole-aggregation-controller clusterrole-
aggregation-controller ServiceAccount kube-system
system:controller:daemon-set-controller daemon-set-controller
ServiceAccount kube-system
system:controller:job-controller job-controller
ServiceAccount kube-system
system:controller:persistent-volume-binder persistent-volume-
binder ServiceAccount kube-system
system:controller:replicaset-controller replicaset-controller
ServiceAccount kube-system
system:controller:replication-controller replication-controller
ServiceAccount kube-system
system:controller:statefulset-controller statefulset-controller
ServiceAccount kube-system