Zum Hauptinhalt springen

Maßnahmen

Host-VM-Instance-Metadata in AKS

Top Maßnahmen

Um diesen Zugriff zu deaktivieren, sollte allen Namespaces eine NetworkPolicy beigefügt werden. Dies blockt den Pod-Ausgang zum Metadata End-Point.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: block-node-metadata
spec:
  podSelector:
    matchLabels: {}
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0 # Preferably something smaller here
        except:
        - 169.254.169.254/32

Folgende Risiken sind hier enthalten