Profilanwendbarkeit: Stufe 1 - Masterknoten
Die Fähigkeit, Pods in einem Namespace zu erstellen, kann eine Reihe von Möglichkeiten
zur Rechteausweitung bieten, wie das Zuweisen privilegierter Dienstkonten zu diesen
Pods oder das Einbinden von hostPaths mit Zugriff auf sensible Daten (es sei denn,
Pod-Sicherheitsrichtlinien werden implementiert, um diesen Zugriff einzuschränken).
Daher sollte der Zugriff zum Erstellen neuer Pods auf die kleinstmögliche Gruppe von
Benutzern beschränkt werden.
Die Fähigkeit, Pods in einem Cluster zu erstellen, eröffnet Möglichkeiten zur Rechteausweitung
und sollte, wenn möglich, eingeschränkt werden.
 |
HinweisStandardmäßig haben in einem kubeadm-Cluster die folgende Liste von Prinzipalen
create-Berechtigungen für pod-Objekte. |
Auswirkung
Es sollte darauf geachtet werden, den Zugriff auf Pods für Systemkomponenten, die
diesen für ihren Betrieb benötigen, nicht zu entfernen.
Prüfung
Überprüfen Sie die Benutzer, die Zugriff zum Erstellen von Pod-Objekten in der Kubernetes-API
haben.
Wiederherstellung
Entfernen Sie nach Möglichkeit den
create-Zugriff auf pod-Objekte im Cluster.