Modelo de Ameaça

Um atacante que tem acesso ao endpoint do Webhook, no nível da rede, pode enviar grandes quantidades de tráfego, causando uma negação efetiva de serviço ao controlador de admissão.

O webhook falha de forma fechada. Se o webhook não responder a tempo, por qualquer motivo, o servidor API deve rejeitar a solicitação. Esse é o comportamento padrão de Admission Controller.

Falha fechada significa que, se, por qualquer motivo, Admission Controller parar de responder ou travar, o servidor API rejeita a solicitação por padrão. Mesmo que a solicitação seja normalmente aceita por Admission Controller.

Um atacante, que pode acessar o controlador de admissão em um nível de rede, envia solicitações ao controlador de admissão que requerem processamento complexo e causam timeouts, pois o controlador de admissão utiliza poder computacional para processar as cargas de trabalho.

O webhook falha de forma fechada e autentica os chamadores. Esse é o comportamento padrão de Admission Controller.

Um atacante, que tem direitos para criar cargas de trabalho no cluster, consegue explorar uma má configuração para contornar o controle de segurança pretendido.

Revisões regulares da configuração do webhook podem ajudar a identificar problemas.

Um atacante que tem acesso à API do Kubernetes possui privilégios suficientes para excluir o objeto webhook no cluster.

Os direitos do RBAC devem ser rigorosamente controlados.

A maior parte do RBAC não está dentro do escopo da discussão atual. No entanto, o seguinte está por vir, para ajudar os usuários Admission Controller:

Um atacante ganha acesso a credenciais de cliente válidas para o webhook do controlador de admissão.

O webhook falha de forma fechada. Esse é o comportamento padrão de Admission Controller.

Um atacante ganha acesso a uma credencial de nível administrador do cluster no cluster do Kubernetes.

N/A

Um atacante que tem acesso à rede de contêineres é capaz de espionar o tráfego entre o servidor da API e o webhook do controlador de admissão.

Como o webhook utiliza criptografia TLS para todo o tráfego, Admission Controller é seguro.

Um atacante na rede do contêiner, que tem acesso à capacidade NET_RAW, pode tentar usar ferramentas MITM para interceptar o tráfego entre o servidor da API e o webhook do controlador de admissão.

Configure o cluster com autenticação mTLS para os Webhooks e ative o recurso mTLS na pilha Admission Controller. Alternativamente, configure o mTLS usando um CNI que suporte Políticas de Rede. Consulte "Webhooks seguros com TLS mútuo" para mais informações.

Use a política capabilities-psp e configure-a para remover as capacidades NET_RAW.

Um atacante é capaz de redirecionar o tráfego do servidor da API pretendido, para o webhook do controlador de admissão, por meio de spoofing.

Configure o cluster com autenticação mTLS para os Webhooks e ative o recurso mTLS na pilha Admission Controller. Alternativamente, configure o mTLS usando um CNI que suporte Políticas de Rede. Consulte "Webhooks seguros com TLS mútuo" para mais informações.

Um atacante é capaz de fazer com que um controlador de admissão mutante modifique uma carga de trabalho, de modo que permita a criação de contêineres privilegiados.

Revise e teste todas as regras.

Um atacante é capaz de implantar cargas de trabalho em namespaces do Kubernetes isentos da configuração do controlador de admissão.

Os direitos RBAC são estritamente controlados

A maior parte do RBAC está fora do escopo em relação a esta decisão. No entanto, a equipe Admission Controller tem como objetivo:

Um atacante criou um manifesto de carga de trabalho que utiliza um recurso da API do Kubernetes que não é coberto pelo controlador de admissão

Revise e teste todas as regras. Você deve revisar os PRs que alteram quaisquer regras na implantação de políticas.

Um atacante, que tem direitos para criar cargas de trabalho, contorna uma regra explorando a correspondência de strings inadequada.

Revise e teste todas as regras.

Introduza testes para cobrir esta regra. Como sempre, você deve revisar os PRs que alteram as regras na implantação de políticas.

Um atacante, com direitos para criar cargas de trabalho, utiliza novos recursos da API do Kubernetes (por exemplo, uma versão da API alterada) para contornar uma regra.

Revise e teste todas as regras. Há uma política que testa o uso de recursos obsoletos. Está disponível em a política de versões de API descontinuadas.

Um atacante, que tem direitos para implantar contêineres privilegiados no cluster, cria um contêiner privilegiado no nó do cluster onde o webhook do controlador de admissão opera.

O controlador de admissão utiliza políticas restritivas para prevenir cargas de trabalho privilegiadas.

Um atacante, que tem direitos para implantar volumes hostPath com cargas de trabalho, cria um volume que permite o acesso aos arquivos do pod do controlador de admissão.

Implante o kubewarden-default gráfico Helm e ative suas políticas recomendadas, que incluem a política hostpaths-psp. Esta política está configurada para reduzir os volumes hostPath compartilhados.

Um atacante é capaz de fazer login nos nós do cluster como um usuário privilegiado via SSH.

N/A

Um atacante é capaz de configurar uma política que escuta solicitações de admissão e envia dados sensíveis para um sistema externo.

Assumindo um cluster Kubernetes confiável, mas novo, um atacante é capaz de comprometer a pilha Admission Controller antes da implantação e da aplicação de qualquer uma das políticas de proteção.

Por exemplo, por: