Profilanwendbarkeit: Stufe 1
Dienstkontotoken sollten nicht in Pods eingebunden werden, es sei denn, die im Pod
laufende Arbeitslast muss ausdrücklich mit dem API-Server kommunizieren.
Das Einbinden von Service-Account-Tokens in Pods kann einen Weg für Rechteausweitung-Angriffe
bieten, bei denen ein Angreifer in der Lage ist, einen einzelnen Pod im Cluster zu
kompromittieren.
Das Vermeiden der Einbindung dieser Tokens beseitigt diesen Angriffsweg.
 |
HinweisStandardmäßig wird in allen Pods ein Servicekonto-Token eingebunden.
|
Auswirkung
Pods, die ohne Servicekonto-Token bereitgestellt werden, können nicht mit dem API-Server
kommunizieren, es sei denn, die Ressource ist für nicht authentifizierte Hauptbenutzer
verfügbar.
Prüfung
Überprüfen Sie Pod- und Servicekonto-Objekte im Cluster und stellen Sie sicher, dass
die untenstehende Option gesetzt ist, es sei denn, die Ressource erfordert ausdrücklich
diesen Zugriff.
automountServiceAccountToken: false
Wiederherstellung
Ändern Sie die Definition von Pods und Dienstkonten, die keine Dienstkontotoken einbinden
müssen, um sie zu deaktivieren.