プロファイル適用性: レベル 1 - クラスター / コントロールプレーン
KubernetesのRolesおよびClusterRolesは、許可されるオブジェクトとアクションのセットを定義することでリソースへのアクセスを許可します。これらのロールをワイルドカード「*」文字に設定すると、Custom
Resource Definitions (CRDs) や将来のプラットフォームバージョンを通じてKubernetes APIに追加された新しいリソースへのアクセスを誤って許可することになり、セキュリティの脆弱性を引き起こす可能性があります。セキュリティの観点から、この方法は推奨されません。なぜなら、最小特権の原則に反し、ユーザのアクセスをその役割に必要な範囲に厳密に制限することを求めているためであり、Kubernetes
API内で過剰な権限を提供することを避けるためです。
監査
クラスター内の各ネームスペースで定義されたロールを取得し、ワイルドカードがないか確認してください。
kubectl get roles --all-namespaces -o yaml
クラスターで定義されたクラスターの役割を取得し、ワイルドカードを確認してください。
kubectl get clusterroles -o yaml
修復
可能な場合は、clusterrolesやrolesでのワイルドカードの使用を特定のオブジェクトやアクションに置き換えてください。