Profilanwendbarkeit: Stufe 1 - Cluster / Steuerungsebene
Die Fähigkeit, Pods in einem Namespace zu erstellen, kann eine Reihe von Möglichkeiten
zur Rechteausweitung bieten, wie das Zuweisen privilegierter Dienstkonten zu diesen
Pods oder das Einbinden von HostPaths mit Zugriff auf sensible Daten (es sei denn,
Pod-Sicherheitsrichtlinien werden implementiert, um diesen Zugriff einzuschränken).
Daher sollte der Zugriff zum Erstellen neuer Pods auf die kleinstmögliche Benutzergruppe
beschränkt werden.
Die Fähigkeit, Pods in einem Cluster zu erstellen, eröffnet Möglichkeiten zur Rechteausweitung
und sollte, wenn möglich, eingeschränkt werden.
 |
HinweisStandardmäßig haben die folgenden Prinzipale
create-Berechtigungen für pod-Objekte:
CLUSTERROLEBINDING SUBJECT TYPE SA-NAMESPACE cluster-admin system:masters Group system:controller:clusterrole-aggregation-controller clusterroleaggregation- controller ServiceAccount kube-system system:controller:daemon-set-controller daemon-set-controller ServiceAccount kube-system system:controller:job-controller job-controller ServiceAccount kube-system system:controller:persistent-volume-binder persistent-volumebinder ServiceAccount kube-system system:controller:replicaset-controller replicaset-controller ServiceAccount kube-system system:controller:replication-controller replication-controller ServiceAccount kube-system system:controller:statefulset-controller statefulset-controller ServiceAccount kube-system |
Auswirkung
Es sollte darauf geachtet werden, den Zugriff auf Pods für Systemkomponenten, die
diesen für ihren Betrieb benötigen, nicht zu entfernen.
Prüfung
Überprüfen Sie die Benutzer, die Zugriff zum Erstellen von Pod-Objekten in der Kubernetes-API
haben.
Wiederherstellung
Wo möglich, entfernen Sie
create-Zugriff auf pod-Objekte im Cluster.