Ataque a cluster Kubernetes
O que é Ataque a cluster Kubernetes?
Ataque a cluster KubernetesIntrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho.
Um ataque a cluster Kubernetes tem como alvo o kube-apiserver, kubelet, etcd ou as proprias cargas para executar codigo, roubar segredos ou tomar o controlo do cluster. Pontos de entrada comuns incluem kube-apiserver exposto sem autenticacao, portas de leitura/escrita do kubelet acessiveis, webhooks de admissao vulneraveis, tokens de service account roubados e pods com privilegios excessivos. A partir de um acesso inicial, os atacantes procuram caminhos como pod-para-no via hostPath ou contentores privilegiados, repeticao de tokens contra a API ou abuso de role bindings cluster-admin. As defesas incluem RBAC rigoroso, autenticacao OIDC, network policies, seguranca em runtime (Falco, Tetragon), admission controllers como Kyverno ou OPA Gatekeeper e imagens minimas assinadas.
● Exemplos
- 01
Uma API Kubelet exposta na porta 10250 permite exec arbitrario nos pods do no.
- 02
Um token de service account fugado permite listar segredos em todos os namespaces.
● Perguntas frequentes
O que é Ataque a cluster Kubernetes?
Intrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Ataque a cluster Kubernetes?
Intrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho.
Como se defender contra Ataque a cluster Kubernetes?
As defesas contra Ataque a cluster Kubernetes costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque a cluster Kubernetes?
Nomes alternativos comuns: Comprometimento de cluster K8s, Intrusao Kubernetes.