Kubernetes-Pods sichern: Wie man unauthorisierte priviligierte Prozesse verhindert und so die Sicherheit Ihres Systems verbessert

Risiken des Hinzufügens von priviligierten Prozessen in Pods

Sofern nicht anders ausgeschildert kann jeder Linux-Capabilites nach freiem Verfügen hinzufügen und dies selbst innerhalb von Containern.

Pods oder Nodes können beispielsweise die Capability „CAP_NET_BIND_SERVICE“ mit der Fähigkeit zum priviligierten Öffnen von Ports erhalten. Damit können Ports im Cluster so geöffnet werden, dass das Cluster auch von außen zugänglich wird.

In der Pod-Security-Policy sollten folgende Einträge als Standard gehalten werden:

  requiredDropCapabilities:
    - ALL

(Mit der Kubernetes Version 1.25 sind Pod-Security-Policies eingestellt worden! Nutzen Sie nun die Pod-Security-Admissions!)

Risiken

Kubernetes-Pods sichern: Wie man unauthorisierte priviligierte Prozesse verhindert und so die Sicherheit Ihres Systems verbessert

Orientieren Sie sich an folgenden Maßnahmen:

Security-Kontext auf Container-Level

Security-Kontext auf Pod-Level

Pod-Security-Policy