Modelo de Amenaza

Un atacante que tiene acceso al punto final del Webhook, a nivel de red, podría enviar grandes cantidades de tráfico, causando una denegación de servicio efectiva al controlador de admisión.

El webhook falla cerrado. Si el webhook no responde a tiempo, por cualquier motivo, el servidor API debería rechazar la solicitud. Este es el comportamiento por defecto de Admission Controller.

Fallar cerrado significa que si, por cualquier motivo, Admission Controller deja de responder o falla, el servidor API rechaza la solicitud por defecto. Esto es incluso si la solicitud es normalmente aceptada por Admission Controller.

Un atacante, que puede acceder al controlador de admisión a nivel de red, envía solicitudes al controlador de admisión que requieren un procesamiento complejo y causan tiempos de espera, ya que el controlador de admisión utiliza potencia de cálculo para procesar las cargas de trabajo.

El webhook falla cerrado y autentica a los llamadores. Este es el comportamiento por defecto de Admission Controller.

Un atacante, que tiene derechos para crear cargas de trabajo en el clúster, puede explotar una mala configuración para eludir el control de seguridad previsto.

Revisiones regulares de la configuración del webhook pueden ayudar a detectar problemas.

Un atacante que tiene acceso a la API de Kubernetes, tiene privilegios suficientes para eliminar el objeto webhook en el clúster.

Los derechos de RBAC deben ser controlados estrictamente.

La mayor parte de RBAC no está dentro del alcance de la discusión actual. Sin embargo, lo siguiente llegará a su debido tiempo, para ayudar a los usuarios de Admission Controller:

Un atacante obtiene acceso a credenciales de cliente válidas para el webhook del controlador de admisión.

El webhook falla cerrado. Este es el comportamiento por defecto de Admission Controller.

Un atacante obtiene acceso a una credencial de nivel administrador del clúster en el clúster de Kubernetes.

N/D

Un atacante que tiene acceso a la red de contenedores puede interceptar el tráfico entre el servidor API y el webhook del controlador de admisión.

Dado que el webhook utiliza cifrado TLS para todo el tráfico, Admission Controller es seguro.

Un atacante en la red del contenedor, que tiene acceso a la capacidad NET_RAW, puede intentar utilizar herramientas MITM para interceptar el tráfico entre el servidor API y el webhook del controlador de admisión.

Configura el clúster con autenticación mTLS para los Webhooks y habilita la función mTLS en la pila Admission Controller. Alternativamente, configura mTLS utilizando un CNI que soporte Políticas de Red. Consulta "Webhooks seguros con TLS mutuo" para más información.

Utiliza la política capabilities-psp y configúrala para eliminar las capacidades NET_RAW.

Un atacante puede redirigir el tráfico del servidor API previsto, para el webhook del controlador de admisión, mediante suplantación.

Configura el clúster con autenticación mTLS para los Webhooks y habilita la función mTLS en la pila Admission Controller. Alternativamente, configura mTLS utilizando un CNI que soporte Políticas de Red. Consulta "Webhooks seguros con TLS mutuo" para más información.

Un atacante puede hacer que un controlador de admisión mutante modifique una carga de trabajo, de tal manera que permita la creación de contenedores privilegiados.

Revisa y prueba todas las reglas.

Un atacante puede desplegar cargas de trabajo en espacios de nombres de Kubernetes exentos de la configuración del controlador de admisión.

Los derechos de RBAC están estrictamente controlados

La mayor parte del RBAC está fuera del alcance respecto a esta decisión. Sin embargo, el equipo Admission Controller tiene como objetivo:

Un atacante creó un manifiesto de carga de trabajo que utiliza una característica de la API de Kubernetes que no está cubierta por el controlador de admisión

Revisa y prueba todas las reglas. Debéis revisar los PRs que cambian cualquier regla en la ampliación de directivas.

Un atacante, que tiene derechos para crear cargas de trabajo, elude una regla explotando una mala coincidencia de cadenas.

Revisa y prueba todas las reglas.

Introduce pruebas para cubrir esta regla. Como siempre, debéis revisar los PRs que cambian las reglas en la ampliación de directivas.

Un atacante, con derechos para crear cargas de trabajo, utiliza nuevas características de la API de Kubernetes (por ejemplo, una versión de API cambiada) para eludir una regla.

Revisa y prueba todas las reglas. Hay una directiva que prueba el uso de recursos que han quedado obsoletos. Está disponible desde la directiva-de-versiones-api-obsoletas.

Un atacante, que tiene derechos para desplegar contenedores privilegiados en el clúster, crea un contenedor privilegiado en el nodo del clúster donde opera el webhook del controlador de admisión.

El controlador de admisión utiliza directivas restrictivas para prevenir cargas de trabajo privilegiadas.

Un atacante, que tiene derechos para desplegar volúmenes hostPath con cargas de trabajo, crea un volumen que permite el acceso a los archivos del pod del controlador de admisión.

Desplegad el kubewarden-default Helm chart y habilitad sus directivas recomendadas, que incluyen la directiva hostpaths-psp. Esta directiva está configurada para reducir los volúmenes hostPath compartidos.

Un atacante puede iniciar sesión en los nodos del clúster como un usuario privilegiado a través de SSH.

N/D

Un atacante puede configurar una directiva que escucha las solicitudes de admisión y envía datos sensibles a un sistema externo.

Suponiendo un clúster de Kubernetes confiable pero nuevo, un atacante puede comprometer la pila Admission Controller antes de su ampliación y de la aplicación de cualquiera de las directivas de seguridad.

Por ejemplo, mediante: