Bedrohungsmodell

Ein Angreifer, der Zugriff auf den Webhook-Endpunkt auf Netzwerkebene hat, könnte große Mengen an Verkehr senden, was zu einer effektiven Dienstverweigerung für den Zugangscontroller führt.

Webhook schlägt geschlossen fehl. Wenn der Webhook aus irgendeinem Grund nicht rechtzeitig antwortet, sollte der API-Server die Anfrage ablehnen. Dies ist das Standardverhalten von Admission Controller.

Das Schließen im Fehlerfall bedeutet, dass der API-Server die Anfrage standardmäßig ablehnt, wenn Admission Controller aus irgendeinem Grund nicht mehr reagiert oder abstürzt. Dies gilt selbst dann, wenn die Anfrage normalerweise von Admission Controller akzeptiert wird.

Ein Angreifer, der auf Netzwerkebene auf den Zugangscontroller zugreifen kann, übergibt Anfragen an den Zugangscontroller, die komplexe Verarbeitung erfordern und Zeitüberschreitungen verursachen, da der Zugangscontroller Rechenleistung benötigt, um die Arbeitslasten zu verarbeiten.

Webhook schlägt geschlossen fehl und authentifiziert Anrufer. Dies ist das Standardverhalten von Admission Controller.

Ein Angreifer, der das Recht hat, Workloads im Cluster zu erstellen, kann eine Fehlkonfiguration ausnutzen, um die beabsichtigte Sicherheitskontrolle zu umgehen.

Regelmäßige Überprüfungen der Webhook-Konfiguration können helfen, Probleme zu erkennen.

Ein Angreifer, der Zugriff auf die Kubernetes-API hat, hat ausreichende Berechtigungen, um das Webhook-Objekt im Cluster zu löschen.

RBAC-Rechte sollten streng kontrolliert werden.

Der Großteil von RBAC liegt nicht im Rahmen der aktuellen Diskussion. Die folgenden Informationen werden in Kürze bereitgestellt, um Admission Controller Benutzern zu helfen:

Ein Angreifer erhält Zugang zu gültigen Client-Anmeldeinformationen für den Admission-Controller-Webhook.

Webhook schlägt geschlossen fehl. Dies ist das Standardverhalten von Admission Controller.

Ein Angreifer erhält Zugang zu einer Anmeldeinformation auf Cluster-Admin-Ebene im Kubernetes-Cluster.

Nicht zutreffend

Ein Angreifer, der Zugriff auf das Container-Netzwerk hat, kann den Datenverkehr zwischen dem API-Server und dem Admission-Controller-Webhook schnüffeln.

Da der Webhook TLS-Verschlüsselung für den gesamten Datenverkehr verwendet, ist Admission Controller sicher.

Ein Angreifer im Container-Netzwerk, der Zugriff auf die NET_RAW-Fähigkeit hat, kann versuchen, MITM-Tools zu verwenden, um den Datenverkehr zwischen dem API-Server und dem Webhook des Admission Controllers abzufangen.

Konfigurieren Sie den Cluster mit mTLS-Authentifizierung für die Webhooks und aktivieren Sie die mTLS-Funktion im Admission Controller Stack. Alternativ können Sie mTLS mit einem CNI einrichten, das Netzwerk-Richtlinien unterstützt. Verweisen Sie auf "Sichere Webhooks mit mutual TLS" für weitere Informationen.

Verwenden Sie die capabilities-psp Richtlinie und konfigurieren Sie sie so, dass NET_RAW-Fähigkeiten entfernt werden.

Ein Angreifer kann den Datenverkehr vom vorgesehenen API-Server für den Webhook des Admission Controllers durch Spoofing umleiten.

Konfigurieren Sie den Cluster mit mTLS-Authentifizierung für die Webhooks und aktivieren Sie die mTLS-Funktion im Admission Controller Stack. Alternativ können Sie mTLS mit einem CNI einrichten, das Netzwerk-Richtlinien unterstützt. Verweisen Sie auf "Sichere Webhooks mit mutual TLS" für weitere Informationen.

Ein Angreifer kann einen mutierenden Admission Controller dazu bringen, eine Arbeitslast zu ändern, sodass die Erstellung eines privilegierten Containers ermöglicht wird.

Überprüfen und testen Sie alle Regeln.

Ein Angreifer kann Arbeitslasten in Kubernetes-Namespaces bereitstellen, die von der Konfiguration des Admission Controllers ausgenommen sind.

RBAC-Rechte werden streng kontrolliert

Der Großteil des RBAC liegt außerhalb des Anwendungsbereichs dieser Entscheidung. Das Admission Controller Team hat jedoch das Ziel:

Ein Angreifer hat ein Arbeitslast-Manifest erstellt, das eine Funktion der Kubernetes-API verwendet, die nicht vom Admission Controller abgedeckt ist.

Überprüfen und testen Sie alle Regeln. Sie sollten PRs überprüfen, die Änderungen an den Regeln in der Richtlinienbereitstellung vornehmen.

Ein Angreifer, der das Recht hat, Workloads zu erstellen, umgeht eine Regel, indem er fehlerhafte Zeichenfolgenübereinstimmung ausnutzt.

Überprüfen und testen Sie alle Regeln.

Führen Sie Tests ein, um diese Regel abzudecken. Wie immer sollten Sie PRs überprüfen, die die Regeln in der Richtlinienbereitstellung ändern.

Ein Angreifer, der das Recht hat, Workloads zu erstellen, nutzt neue Funktionen der Kubernetes-API (zum Beispiel eine geänderte API-Version), um eine Regel zu umgehen.

Überprüfen und testen Sie alle Regeln. Es gibt eine Richtlinie, die die Verwendung von veralteten Ressourcen testet. Es ist verfügbar unter der veralteten-api-versionen-richtlinie.

Ein Angreifer, der das Recht hat, privilegierte Container im Cluster bereitzustellen, erstellt einen privilegierten Container auf dem Clusterknoten, auf dem der Admission-Controller-Webhook arbeitet.

Der Admission-Controller verwendet restriktive Richtlinien, um privilegierte Workloads zu verhindern.

Ein Angreifer, der das Recht hat, HostPath-Volumes mit Workloads bereitzustellen, erstellt ein Volume, das den Zugriff auf die Dateien des Admission-Controller-Pods ermöglicht.

Setzen Sie das kubewarden-default Helm-Chart ein und aktivieren Sie die empfohlenen Richtlinien, die die hostpaths-psp Richtlinie umfassen. Diese Richtlinie ist so konfiguriert, dass sie die gemeinsamen HostPath-Volumes reduziert.

Ein Angreifer kann sich über SSH als privilegierter Benutzer in Clusterknoten einloggen.

Nicht zutreffend

Ein Angreifer kann eine Richtlinie konfigurieren, die auf Zulassungsanfragen hört und sensible Daten an ein externes System sendet.

Vorausgesetzt, es handelt sich um einen vertrauenswürdigen, aber neuen Kubernetes-Cluster, kann ein Angreifer den Admission Controller-Stack kompromittieren, bevor die Implementierung und Durchsetzung aller Sicherheitsrichtlinien erfolgt.

Zum Beispiel durch: