Kubernetes-Cluster-Angriff
Was ist Kubernetes-Cluster-Angriff?
Kubernetes-Cluster-AngriffEingriff in einen Kubernetes (K8s)-Cluster, der freigelegte APIs, schwaches RBAC oder verwundbare Workloads ausnutzt, um Kontrolle ueber Control Plane oder Worker Nodes zu erlangen.
Ein Kubernetes-Cluster-Angriff zielt auf den kube-apiserver, das kubelet, etcd oder die Workloads selbst, um Codeausfuehrung zu erreichen, Secrets zu stehlen oder den Cluster zu uebernehmen. Haeufige Einstiegspunkte sind ein unauthentifiziert exponierter kube-apiserver, lesbar/schreibbare kubelet-Ports, verwundbare Admission-Webhooks, gestohlene Service-Account-Tokens und ueberprivilegierte Pods. Vom initialen Zugriff aus suchen Angreifer Pfade wie Pod-zu-Node ueber hostPath oder privilegierte Container, Token-Replay gegen die API oder Missbrauch von cluster-admin-Rollen. Verteidigung umfasst strikte RBAC, OIDC-Authentifizierung, Network Policies, Runtime-Security (Falco, Tetragon), Admission Controller wie Kyverno oder OPA Gatekeeper und signierte, minimale Container-Images.
● Beispiele
- 01
Eine offene Kubelet-API auf Port 10250 erlaubt beliebiges exec in Pods des Knotens.
- 02
Ein geleakter Service-Account-Token erlaubt das Auflisten von Secrets in allen Namespaces.
● Häufige Fragen
Was ist Kubernetes-Cluster-Angriff?
Eingriff in einen Kubernetes (K8s)-Cluster, der freigelegte APIs, schwaches RBAC oder verwundbare Workloads ausnutzt, um Kontrolle ueber Control Plane oder Worker Nodes zu erlangen. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Kubernetes-Cluster-Angriff?
Eingriff in einen Kubernetes (K8s)-Cluster, der freigelegte APIs, schwaches RBAC oder verwundbare Workloads ausnutzt, um Kontrolle ueber Control Plane oder Worker Nodes zu erlangen.
Wie schützt man sich gegen Kubernetes-Cluster-Angriff?
Schutzmaßnahmen gegen Kubernetes-Cluster-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Kubernetes-Cluster-Angriff?
Übliche alternative Bezeichnungen: K8s-Cluster-Kompromittierung, Kubernetes-Intrusion.