Ansichten:
Profilanwendbarkeit: Stufe 1
Vermeiden Sie nicht standardmäßige ClusterRoleBindings und RoleBindings mit der Gruppe system:authenticated, außer ClusterRoleBindings system:basic-user, system:discovery und system:public-info-viewer.
Googles Ansatz zur Authentifizierung besteht darin, die Authentifizierung bei Google Cloud und GKE so einfach und sicher wie möglich zu gestalten, ohne komplexe Konfigurationsschritte hinzuzufügen. Die Gruppe system:authenticated umfasst alle Nutzer mit einem Google-Konto, einschließlich aller Gmail-Konten. Berücksichtigen Sie Ihre Autorisierungssteuerungen mit diesem erweiterten Gruppenumfang, wenn Sie Berechtigungen erteilen. Daher wird die Gruppe system:authenticated für die nicht standardmäßige Verwendung nicht empfohlen.
GKE weist der Gruppe system:authenticated API-Server-Anfragen zu, die von jedem Benutzer gestellt werden, der mit einem Google-Konto angemeldet ist, einschließlich aller Gmail-Konten. In der Praxis unterscheidet sich dies nicht wesentlich von system:unauthenticated, da jeder ein Google-Konto erstellen kann.
Das Binden einer Rolle an die Gruppe system:authenticated gibt jedem Benutzer mit einem Google-Konto, einschließlich aller Gmail-Konten, die von dieser Rolle gewährten Berechtigungen und wird dringend abgeraten.
Standardwert:
ClusterRoleBindings mit Gruppe system:unauthenticated: 
system:public-info-viewer
Kein RoleBindings mit der Gruppe system:unauthenticated.

Auswirkung

Authentifizierte Benutzer in der Gruppe system:authenticated sollten ähnlich behandelt werden wie Benutzer in system:unauthenticated, mit Privilegien und Berechtigungen, die mit Rollen verbunden sind, die mit den konfigurierten Bindungen verknüpft sind.
Es sollte darauf geachtet werden, dass keine nicht standardmäßigen clusterrolebindings oder rolebindings aus der Umgebung entfernt werden, um sicherzustellen, dass sie nicht für den Betrieb des Clusters erforderlich sind. Verwenden Sie einen spezifischeren und authentifizierten Benutzer für Cluster-Operationen.

Prüfung

Verwenden Sie den folgenden Befehl, um zu bestätigen, dass es keine nicht standardmäßigen ClusterRoleBindings zu system:authenticated gibt:
$ kubectl get clusterrolebindings -o json | jq -r '["Name"], ["-----"], 
(.items[] | select((.subjects | length) > 0) | select(any(.subjects[]; .name 
== "system:unauthenticated")) | [.metadata.namespace, .metadata.name]) | 
@tsv'
Nur die folgenden Standard-ClusterRoleBindings sollten angezeigt werden:
Name 
----- 
               system:public-info-viewer
               system:discovery 
               system:public-info-viewer
Wenn nicht standardmäßige Bindungen vorhanden sind, überprüfen Sie deren Berechtigungen mit dem folgenden Befehl und bewerten Sie deren Privilegien neu.
$ kubectl get clusterrolebinding [CLUSTER_ROLE_BINDING_NAME] -o json \ 
    | jq ' .roleRef.name +" " + .roleRef.kind' \ 
    | sed -e 's/"//g' \ 
    | xargs -l bash -c 'kubectl get $1 $0 -o yaml'
Bestätigen Sie, dass keine RoleBindings einschließlich der Gruppe system:authenticated vorhanden sind:
$ kubectl get rolebindings -A -o json \ 
    | jq -r '["Namespace", "Name"], ["---------", "-----"], (.items[] | 
select((.subjects | length) > 0) | select(any(.subjects[]; .name == 
"system:unauthenticated")) | [.metadata.namespace, .metadata.name]) | @tsv'
Es sollten keine RoleBindings aufgeführt sein.
Wenn Bindungen vorhanden sind, überprüfen Sie deren Berechtigungen mit dem folgenden Befehl und bewerten Sie deren Privilegien neu.
$ kubectl get rolebinding [ROLE_BINDING_NAME] --namespace 
[ROLE_BINDING_NAMESPACE] -o json \ 
    | jq ' .roleRef.name +" " + .roleRef.kind' \ 
    | sed -e 's/"//g' \ 
    | xargs -l bash -c 'kubectl get $1 $0 -o yaml --namespace 
[ROLE_BINDING_NAMESPACE]'

Wiederherstellung

Identifizieren Sie alle nicht standardmäßigen clusterrolebindings und rolebindings für die Gruppe system:authenticated. Überprüfen Sie, ob sie verwendet werden, und überprüfen Sie die Berechtigungen, die mit der Bindung verbunden sind, indem Sie die Befehle im Audit-Abschnitt oben verwenden oder auf die GKE-Dokumentation verweisen.
Erwägen Sie dringend, nicht standardmäßige, unsichere Bindungen durch eine authentifizierte, benutzerdefinierte Gruppe zu ersetzen. Binden Sie, wo möglich, an nicht standardmäßige, benutzerdefinierte Gruppen mit Rollen mit minimalen Berechtigungen.
Wenn es nicht standardmäßige, unsichere Bindungen zur Gruppe system:authenticated gibt, fahren Sie nach Abwägung der Cluster-Operationen mit nur den notwendigen, sichereren Bindungen mit deren Löschung fort.
kubectl delete clusterrolebinding 
[CLUSTER_ROLE_BINDING_NAME] 
kubectl delete rolebinding 
[ROLE_BINDING_NAME] 
--namespace 
[ROLE_BINDING_NAMESPACE]