Modèle de menace

Un attaquant ayant accès au point de terminaison Webhook, au niveau du réseau, pourrait envoyer de grandes quantités de trafic, provoquant un déni de service effectif au contrôleur d’admission.

Le webhook échoue en mode fermé. Si le webhook ne répond pas à temps, pour une raison quelconque, le serveur API doit rejeter la demande. C’est le comportement par défaut de Admission Controller.

Échouer en mode fermé signifie que si, pour une raison quelconque, Admission Controller cesse de répondre ou plante, le serveur API rejette la demande par défaut. C’est même si la demande est normalement acceptée par Admission Controller.

Un attaquant, qui peut accéder au contrôleur d’admission au niveau du réseau, passe des demandes au contrôleur d’admission nécessitant un traitement complexe et provoquant des délais d’attente alors que le contrôleur d’admission utilise de la puissance de calcul pour traiter les charges de travail.

Le webhook échoue en mode fermé et authentifie les appelants. C’est le comportement par défaut de Admission Controller.

Un attaquant, qui a le droit de créer des charges de travail dans le cluster, peut exploiter une mauvaise configuration pour contourner le contrôle de sécurité prévu.

Des examens réguliers de la configuration du webhook peuvent aider à détecter les problèmes.

Un attaquant qui a accès à l’API Kubernetes dispose de privilèges suffisants pour supprimer l’objet webhook dans le cluster.

Les droits RBAC doivent être strictement contrôlés.

La plupart des RBAC ne relèvent pas du champ de discussion actuel. Cependant, ce qui suit arrivera en temps voulu, pour aider les utilisateurs Admission Controller :

Un attaquant accède à des identifiants clients valides pour le webhook du contrôleur d’admission.

Le webhook échoue en mode fermé. C’est le comportement par défaut de Admission Controller.

Un attaquant accède à un identifiant de niveau administrateur de cluster dans le cluster Kubernetes.

S/O

Un attaquant qui a accès au réseau de conteneurs est capable d’intercepter le trafic entre le serveur API et le webhook du contrôleur d’admission.

Puisque le webhook utilise le chiffrement TLS pour tout le trafic, Admission Controller est en sécurité.

Un attaquant sur le réseau de conteneurs, qui a accès à la capacité NET_RAW, peut essayer d’utiliser des outils MITM pour intercepter le trafic entre le serveur API et le webhook du contrôleur d’admission.

Configurez le cluster avec une authentification mTLS pour les Webhooks et activez la fonctionnalité mTLS dans la pile Admission Controller. Alternativement, configurez mTLS en utilisant un CNI qui prend en charge les politiques réseau. Référez-vous à "Sécuriser les webhooks avec TLS mutuel" pour plus d’informations.

Utilisez la politique capabilities-psp et configurez-la pour supprimer les capacités NET_RAW.

Un attaquant est capable de rediriger le trafic du serveur API prévu, pour le webhook du contrôleur d’admission, en utilisant le spoofing.

Configurez le cluster avec une authentification mTLS pour les Webhooks et activez la fonctionnalité mTLS dans la pile Admission Controller. Alternativement, configurez mTLS en utilisant un CNI qui prend en charge les politiques réseau. Référez-vous à "Sécuriser les webhooks avec TLS mutuel" pour plus d’informations.

Un attaquant est capable de provoquer un contrôleur d’admission mutateur pour modifier une charge de travail, de sorte qu’il permette la création de conteneurs privilégiés.

Examinez et testez toutes les règles.

Un attaquant est capable de déployer des charges de travail dans des espaces de noms Kubernetes exemptés de la configuration du contrôleur d’admission.

Les droits RBAC sont strictement contrôlés

La plupart des RBAC ne sont pas concernés par cette décision. Cependant, l’équipe Admission Controller vise à :

Un attaquant a créé un manifeste de charge de travail qui utilise une fonctionnalité de l’API Kubernetes qui n’est pas couverte par le contrôleur d’admission.

Examinez et testez toutes les règles. Vous devez examiner les PR modifiant les règles dans le déploiement des politiques.

Un attaquant, qui a le droit de créer des charges de travail, contourne une règle en exploitant une mauvaise correspondance de chaînes.

Examinez et testez toutes les règles.

Introduisez des tests pour couvrir cette règle. Comme toujours, vous devez examiner les PR modifiant les règles dans le déploiement des politiques.

Un attaquant, ayant le droit de créer des charges de travail, utilise de nouvelles fonctionnalités de l’API Kubernetes (par exemple, une version d’API modifiée) pour contourner une règle.

Examinez et testez toutes les règles. Il existe une politique qui teste l’utilisation de ressources dont la prise en charge a cessé. Elle est disponible à partir de la politique des versions d’API dont la prise en charge a cessé.

Un attaquant, qui a le droit de déployer des conteneurs privilégiés dans le cluster, crée un conteneur privilégié sur le nœud du cluster où le webhook du contrôleur d’admission fonctionne.

Le contrôleur d’admission utilise des politiques restrictives pour empêcher les charges de travail privilégiées.

Un attaquant, qui a le droit de déployer des volumes hostPath avec des charges de travail, crée un volume qui permet d’accéder aux fichiers du pod du contrôleur d’admission.

Déployez le chart Helm kubewarden-default et activez ses politiques recommandées, qui incluent la politique hostpaths-psp. Cette politique est configurée pour réduire les volumes hostPath partagés.

Un attaquant peut se connecter aux nœuds du cluster en tant qu’utilisateur privilégié via SSH.

S/O

Un attaquant est capable de configurer une politique qui écoute les demandes d’admission et envoie des données sensibles vers un système externe.

En supposant un cluster Kubernetes de confiance mais nouveau, un attaquant est capable de compromettre la pile Admission Controller avant le déploiement et l’application de l’une des politiques de sécurité.

Par exemple, par: