Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Kubernetes-Rollen und ClusterRoles bieten Zugriff auf Ressourcen basierend auf Objektgruppen
und Aktionen, die auf diese Objekte ausgeführt werden können. Es ist möglich, eine
dieser Optionen auf das Platzhalterzeichen "*" zu setzen, das alle Elemente abgleicht.
Die Verwendung von Platzhaltern ist aus Sicherheitsperspektive nicht optimal, da sie
möglicherweise unbeabsichtigten Zugriff ermöglichen kann, wenn neue Ressourcen entweder
als CRDs oder in späteren Versionen des Produkts zur Kubernetes-API hinzugefügt werden.
Das Prinzip der minimalen Rechte empfiehlt, dass Benutzern nur der für ihre Rolle
erforderliche Zugriff gewährt wird und nicht mehr. Die Verwendung von Platzhalter-Rechten
gewährt wahrscheinlich übermäßige Rechte auf die Kubernetes-API.
Prüfung
Rufen Sie die in jedem Namespace im Cluster definierten Rollen ab und überprüfen Sie
sie auf Platzhalter:
kubectl get roles --all-namespaces -o yaml
Rufen Sie die im Cluster definierten Clusterrollen ab und überprüfen Sie sie auf Platzhalter:
kubectl get clusterroles -o yaml
Wiederherstellung
Wo möglich, ersetzen Sie die Verwendung von Platzhaltern in ClusterRoles und Roles
durch spezifische Objekte oder Aktionen.