Kubernetes-Pods sichern: Wie man unauthorisierte priviligierte Prozesse verhindert und so die Sicherheit Ihres Systems verbessert
Kubernetes-Pods sichern: Wie man unauthorisierte priviligierte Prozesse verhindert und so die Sicherheit Ihres Systems verbessert
Risiken des Hinzufügens von priviligierten Prozessen in Pods
Sofern nicht anders ausgeschildert kann jeder Linux-Capabilites nach freiem Verfügen hinzufügen und dies selbst innerhalb von Containern.
Pods oder Nodes können beispielsweise die Capability „CAP_NET_BIND_SERVICE“ mit der Fähigkeit zum priviligierten Öffnen von Ports erhalten. Damit können Ports im Cluster so geöffnet werden, dass das Cluster auch von außen zugänglich wird.
In der Pod-Security-Policy sollten folgende Einträge als Standard gehalten werden:
requiredDropCapabilities:
- ALL
(Mit der Kubernetes Version 1.25 sind Pod-Security-Policies eingestellt worden! Nutzen Sie nun die Pod-Security-Admissions!)
