Profilanwendbarkeit: Stufe 1
Service-Account-Token sollten nicht in Pods eingebunden werden, es sei denn, die im
Pod laufende Arbeitslast muss explizit mit dem API-Server kommunizieren.
Das Einbinden von Dienstkontotoken in Pods kann einen Weg für Rechteausweitung-Angriffe
bieten, bei denen ein Angreifer in der Lage ist, einen einzelnen Pod im Cluster zu
kompromittieren.
Das Vermeiden der Einbindung dieser Tokens beseitigt diesen Angriffsweg.
 |
HinweisStandardmäßig wird in allen Pods ein Servicekonto-Token eingebunden.
|
Auswirkung
Pods, die ohne Service-Account-Token montiert sind, können nicht mit dem API-Server
kommunizieren, außer wenn die Ressource für nicht authentifizierte Prinzipale verfügbar
ist.
Prüfung
Überprüfen Sie Pod- und Servicekonto-Objekte im Cluster und stellen Sie sicher, dass
die untenstehende Option gesetzt ist, es sei denn, die Ressource erfordert ausdrücklich
diesen Zugriff.
automountServiceAccountToken: false
Wiederherstellung
Ändern Sie die Definition von Pods und Dienstkonten, die keine Servicekontotoken einbinden
müssen, um sie zu deaktivieren.