Risks

Kubernetes mit RBAC sichern und Risiken mit Kubectl vermeiden

Über RBAC hinaus: Zusätzliche Sicherheits-Maßnahmen

RBAC in Kubernetes ist rein kumulativer Natur, so etwa kann man nur white-listen. Auch sind bestimmte Befehle wie

kubectl config view 
kubectl cluster-info

nicht mit RBAC nutzbar. Beiderlei Befehle liefern unerlässliche Informationen über das Cluster.

Die gefährlichsten Befehle sind:

kubectl get cm -n kube-system

Die gesamten Konfigurations-Dateien, die „kubelet“- oder „kubeadmconfig“ zum Beispiel sind demnach sichtbar.

kubectl cluster-info #Nicht ratsam!
#Enhält alle Informationen über das Cluster
kubectl config <Verb>

Diese Befehle geben Einsicht über die „clusterconfig“ und erlauben entsprechende Modifikationen an der Datei, wie das Ändern oder Erschaffen von Kontexten.

kubectl delete <Verb>

löscht Kubernetes Objekte.   

Es muss klar definiert sein, wer welche Dinge steuern darf und zu welchem Ausmaß mithilfe des „kubectl“-Befehls. Geregelt wird dies regulär über RBAC, doch kann es nicht schaden bestimmte Befehle zusätzlich zu deaktivieren, so zum Beispiel „kubectl verb“, dessen entsprechenden Cluster-Rollen sowie Standard-Rollen, eingeschlossen deren Bindings, wie auch der „kubectl config“-Veranschaung, dem „kubectl config“-verb-Kontext und so weiter.

 

Orientieren Sie sich an folgenden Maßnahmen:

Sie haben Fragen?

Wenn Sie Fragen haben, die noch nicht beantwortet sind, können Sie sich gerne an uns wenden.

Wir freuen uns auf den Kontakt mit Ihnen!

Design Escapes

KubeOps GmbH
Hinter Stöck 17
72406 Bisingen
Germany

  • Telefon:

    +49 7433 93724 90

  • Mail:

    Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Impressum
Downloadbereich
Zertifiziert als:

Die KubeOps GmbH ist Inhaberin der Unionsmarke KubeOps mit der Registrierungsnummer 018305184.

©KubeOps GmbH. Alle Rechte vorbehalten. Tochtergesellschaft der