Profilanwendbarkeit: Stufe 1
Service-Account-Tokens sollten nicht in Pods eingebunden werden, es sei denn, die
im Pod laufende Arbeitslast muss explizit mit dem API-Server kommunizieren
Das Einbinden von Dienstkontotokens in Pods kann einen Weg für Rechteausweitung-Angriffe
bieten, bei denen ein Angreifer in der Lage ist, einen einzelnen Pod im Cluster zu
kompromittieren.
Das Vermeiden der Einbindung dieser Tokens beseitigt diesen Angriffsweg.
 |
HinweisStandardmäßig wird in allen Pods ein Servicekonto-Token eingebunden.
|
Auswirkung
Pods, die ohne Servicekonto-Token bereitgestellt werden, können nicht mit dem API-Server
kommunizieren, es sei denn, die Ressource ist für nicht authentifizierte Hauptbenutzer
verfügbar.
Prüfung
Überprüfen Sie Pod- und Servicekonto-Objekte im Cluster und stellen Sie sicher, dass
die untenstehende Option gesetzt ist, es sei denn, die Ressource erfordert ausdrücklich
diesen Zugriff:
automountServiceAccountToken: false
Wiederherstellung
Ändern Sie die Definition von Pods und Dienstkonten, die keine Servicekontotoken einbinden
müssen, um es zu deaktivieren.