Profilanwendbarkeit: Stufe 1
Die Fähigkeit, Pods in einem Namespace zu erstellen, kann eine Reihe von Möglichkeiten
zur Rechteausweitung bieten, wie das Zuweisen privilegierter Dienstkonten zu diesen
Pods oder das Einbinden von HostPaths mit Zugriff auf sensible Daten (es sei denn,
Pod-Sicherheitsrichtlinien werden implementiert, um diesen Zugriff einzuschränken).
Daher sollte der Zugriff zum Erstellen neuer Pods auf die kleinstmögliche Benutzergruppe
beschränkt werden.
Die Fähigkeit, Pods in einem Cluster zu erstellen, eröffnet Möglichkeiten zur Rechteausweitung
und sollte, wenn möglich, eingeschränkt werden.
 |
HinweisStandardmäßig haben die folgende Liste von Prinzipalen
create-Berechtigungen für pod-Objekte.
CLUSTERROLEBINDING SUBJECT TYPE SA-NAMESPACE cluster-admin system:masters Group system:controller:clusterrole-aggregation-controller clusterrole- aggregation-controller ServiceAccount kube-system system:controller:daemon-set-controller daemon-set-controller ServiceAccount kube-system system:controller:job-controller job-controller ServiceAccount kube-system system:controller:persistent-volume-binder persistent-volume- binder ServiceAccount kube-system system:controller:replicaset-controller replicaset-controller ServiceAccount kube-system system:controller:replication-controller replication-controller ServiceAccount kube-system system:controller:statefulset-controller statefulset-controller ServiceAccount kube-system |
Auswirkung
Es sollte darauf geachtet werden, den Zugriff auf Pods für Systemkomponenten, die
diesen für ihren Betrieb benötigen, nicht zu entfernen.
Prüfung
Überprüfen Sie die Benutzer, die Zugriffsrechte zum Erstellen von Pod-Objekten in
der Kubernetes-API haben.
Wiederherstellung
Wo möglich, entfernen Sie den Zugriff auf
pod-Objekte im Cluster für create.