Maßnahmen

Innerhalb einer Produktionsumgebung ist die Anzahl der benötigten NodePort-Services bekannt. Daher kann diese auch nach Bedarf limitiert werden. Dies negiert zumindest zeitweise das Einschleusen zusätzlicher NodePort-Services durch Angreifer.

Zu diesem Zweck muss innerhalb der API-Konfiguration die Flag "--service-node-port-range" gesetzt werden.

In Azure werden die Services mithilfe des Load-Balancers nach außen verlagert. Hier kann man also entsprechend nichts ändern.