Risiken

In einer Kubernetes Umgebung, die Calico CNI verwendet, können Container ohne Einschränkungen auf Knotenebene kommunizieren. Diese fehlende Kontrolle über die Kommunikation auf Knotenebene setzt den Cluster verschiedenen Sicherheitsrisiken aus, einschließlich der Umgehung von Sicherheitsmaßnahmen wie Netzwerkrichtlinien, und erhöht die Wahrscheinlichkeit eines unbefugten Zugriffs.

Risiken der uneingeschränkten Kommunikation auf Knotenebene

Unverschlüsselte Kommunikation auf Knotenebene bedeutet, dass Angreifer, die einen Container kompromittieren, die Netzwerkrichtlinien umgehen können, indem sie den Netzwerk-Stack des Knotens verwenden. Dies kann zu unbefugtem Zugriff auf andere Container oder Dienste auf Knotenebene führen, was wiederum zu lateralen Bewegungen und potenzieller Privilegien Erweiterung führt.

Um diese Risiken zu minimieren, müssen die Calico Richtlinien auf Clusterebene angemessen konfiguriert und die Verschlüsselung sichergestellt werden.