Безопасность маркетинговой инфраструктуры

<b>Kubernetes ломают не только снаружи: опаснее всего слабые RBAC и открытые API</b>

<b>Kubernetes ломают не только снаружи: опаснее всего слабые RBAC и открытые API</b>

Kubernetes-кластер обычно падает не от «суперэксплойта», а от комбинации плохой сегментации, избыточных прав и слабой изоляции workload’ов. Внешний атакующий ищет доступ к API server, kubelet, ingress и секретам в CI/CD. Внутренний — злоупотребляет service account, читает namespace шире, чем нужно, и двигается по кластеру через доступные ему роли.

Минимальный базис защиты:
— закрыть control plane от общего доступа и ограничить source IP;
— включить RBAC по принципу least privilege, без cluster-admin для сервисов;
— запретить automount service account token там, где он не нужен;
— разнести namespaces по доверенным зонам и включить NetworkPolicy;
— ограничить egress: компрометация pod не должна превращаться в свободный выход в интернет.

Отдельно проверьте секреты. Их нельзя считать защищенными только потому, что они лежат в Kubernetes Secret: это не контроль доступа, а формат хранения. Шифрование на уровне etcd, ротация ключей, короткоживущие токены и аудит обращений к секретам дают существенно больше, чем надежда на «внутреннюю» безопасность кластера.

Логика простая: если pod может читать лишнее, говорить с лишним и подниматься с лишними правами, инцидент почти неизбежен. Проверяйте логи, истина всегда скрыта в них.
Этот пост опубликован в Telegram-канале Безопасность маркетинговой инфраструктуры. Подписаться можно по ссылке: @server_security_ops_arb.
tech

Свежие посты в категории «Tech Infrastructure»

Все каналы категории →

start

Готовы запустить рекламу через сеть public.tg?

Новый оффер, продукт, GEO, кейс, событие или партнёрский запуск — соберём маршрут под задачу и отдадим медиаплан.

Telegram для медиаплана: @dumay. Быстрый тест: $20 за канал, $1000 за пакет по сети.