Profilanwendbarkeit: Stufe 1
Servicekontotoken sollten nicht in Pods eingebunden werden, es sei denn, die im Pod
ausgeführte Arbeitslast muss explizit mit dem API-Server kommunizieren
Das Einbinden von Dienstkontotokens in Pods kann eine Möglichkeit für Rechteausweitung
bieten, bei der ein Angreifer in der Lage ist, einen einzelnen Pod im Cluster zu kompromittieren.
Das Vermeiden des Einbindens dieser Tokens beseitigt diesen Angriffsweg.
 |
HinweisStandardmäßig wird in allen Pods ein Servicekonto-Token eingebunden.
|
Auswirkung
Pods, die ohne Servicekonto-Token bereitgestellt werden, können nicht mit dem API-Server
kommunizieren, es sei denn, die Ressource ist für nicht authentifizierte Prinzipale
verfügbar.
Prüfung
Überprüfen Sie Pod- und Servicekonto-Objekte im Cluster und stellen Sie sicher, dass
die folgende Option gesetzt ist, es sei denn, die Ressource erfordert ausdrücklich
diesen Zugriff:
automountServiceAccountToken: false
Wiederherstellung
Ändern Sie die Definition von Pods und Dienstkonten, die keine Servicekontotoken einbinden
müssen, um es zu deaktivieren.