<b>Kubernetes ломают не только снаружи: опаснее всего слабые RBAC и открытые API</b>
Kubernetes-кластер обычно падает не от «суперэксплойта», а от комбинации плохой сегментации, избыточных прав и слабой изоляции workload’ов. Внешний атакующий ищет доступ к API server, kubelet, ingress и секретам в CI/CD. Внутренний — злоупотребляет service account, читает namespace шире, чем нужно, и двигается по кластеру через доступные ему роли.
Минимальный базис защиты:
— закрыть control plane от общего доступа и ограничить source IP;
— включить RBAC по принципу least privilege, без cluster-admin для сервисов;
— запретить automount service account token там, где он не нужен;
— разнести namespaces по доверенным зонам и включить NetworkPolicy;
— ограничить egress: компрометация pod не должна превращаться в свободный выход в интернет.
Отдельно проверьте секреты. Их нельзя считать защищенными только потому, что они лежат в Kubernetes Secret: это не контроль доступа, а формат хранения. Шифрование на уровне etcd, ротация ключей, короткоживущие токены и аудит обращений к секретам дают существенно больше, чем надежда на «внутреннюю» безопасность кластера.
Логика простая: если pod может читать лишнее, говорить с лишним и подниматься с лишними правами, инцидент почти неизбежен. Проверяйте логи, истина всегда скрыта в них.
Безопасность маркетинговой инфраструктуры
@server_security_ops_arb
<b>Kubernetes ломают не только снаружи: опаснее всего слабые RBAC и открытые API</b>
Этот пост опубликован в Telegram-канале Безопасность маркетинговой инфраструктуры. Подписаться можно по ссылке: @server_security_ops_arb.