Profilanwendbarkeit: Stufe 1
Servicekontotoken sollten nicht in Pods eingebunden werden, es sei denn, die im Pod
ausgeführte Arbeitslast muss explizit mit dem API-Server kommunizieren.
Das Einbinden von Service-Account-Token in Pods kann einen Weg für Rechteausweitung-Angriffe
bieten, bei denen ein Angreifer in der Lage ist, einen einzelnen Pod im Cluster zu
kompromittieren.
Das Vermeiden der Einbindung dieser Tokens beseitigt diesen Angriffsweg.
 |
HinweisStandardmäßig wird in allen Pods ein Service-Account-Token eingebunden.
|
Auswirkung
Pods, die ohne Servicekonto-Token bereitgestellt werden, können nicht mit dem API-Server
kommunizieren, es sei denn, die Ressource ist für nicht authentifizierte Prinzipale
verfügbar.
Prüfung
Überprüfen Sie Pod- und Service-Account-Objekte im Cluster und stellen Sie sicher,
dass die folgende Option gesetzt ist, es sei denn, die Ressource erfordert ausdrücklich
diesen Zugriff:
automountServiceAccountToken: false
Wiederherstellung
Überprüfen Sie regelmäßig Pod- und Service-Account-Objekte im Cluster, um sicherzustellen,
dass die Einstellung
automountServiceAccountToken für Pods und Accounts, die keinen expliziten Zugriff auf den API-Server benötigen,
auf false gesetzt ist.