Атака на кластер Kubernetes
Что такое Атака на кластер Kubernetes?
Атака на кластер KubernetesВторжение в кластер Kubernetes (K8s) с использованием открытых API, слабого RBAC или уязвимых нагрузок для захвата контроля над control plane или рабочими узлами.
Атака на кластер Kubernetes нацелена на kube-apiserver, kubelet, etcd или сами рабочие нагрузки и направлена на выполнение кода, кражу секретов или захват кластера. Типичные точки входа: открытый без аутентификации kube-apiserver, доступные на запись порты kubelet, уязвимые admission-вебхуки, украденные токены service account и поды с избыточными привилегиями. От начальной точки атакующие ищут пути выхода из пода на узел через hostPath или привилегированные контейнеры, повторное использование токенов против API и злоупотребление RoleBinding к cluster-admin. Защита включает строгий RBAC, OIDC-аутентификацию, NetworkPolicy, runtime-безопасность (Falco, Tetragon), admission controllers (Kyverno, OPA Gatekeeper) и подписанные минимальные образы.
● Примеры
- 01
Открытый Kubelet API на порту 10250 позволяет произвольный exec в подах узла.
- 02
Утекший токен service account дает право списка секретов во всех namespace.
● Частые вопросы
Что такое Атака на кластер Kubernetes?
Вторжение в кластер Kubernetes (K8s) с использованием открытых API, слабого RBAC или уязвимых нагрузок для захвата контроля над control plane или рабочими узлами. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Атака на кластер Kubernetes?
Вторжение в кластер Kubernetes (K8s) с использованием открытых API, слабого RBAC или уязвимых нагрузок для захвата контроля над control plane или рабочими узлами.
Как работает Атака на кластер Kubernetes?
Атака на кластер Kubernetes нацелена на kube-apiserver, kubelet, etcd или сами рабочие нагрузки и направлена на выполнение кода, кражу секретов или захват кластера. Типичные точки входа: открытый без аутентификации kube-apiserver, доступные на запись порты kubelet, уязвимые admission-вебхуки, украденные токены service account и поды с избыточными привилегиями. От начальной точки атакующие ищут пути выхода из пода на узел через hostPath или привилегированные контейнеры, повторное использование токенов против API и злоупотребление RoleBinding к cluster-admin. Защита включает строгий RBAC, OIDC-аутентификацию, NetworkPolicy, runtime-безопасность (Falco, Tetragon), admission controllers (Kyverno, OPA Gatekeeper) и подписанные минимальные образы.
Как защититься от Атака на кластер Kubernetes?
Защита от Атака на кластер Kubernetes обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака на кластер Kubernetes?
Распространённые альтернативные названия: Компрометация кластера K8s, Вторжение в Kubernetes.
● Связанные термины
- cloud-security№ 211
Container Escape
Эксплойт, нарушающий границу изоляции между контейнером и хостом и позволяющий атакующему выполнять код на нижележащем узле или в ядре.
- cloud-security№ 505
Повышение привилегий IAM
Злоупотребление существующими облачными IAM-разрешениями для получения более высоких прав, часто через изменение политик, передачу ролей или самоприсвоение административных прав.
- cloud-security№ 190
Кража облачных токенов
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
- cloud-security№ 183
Утечка данных из облака
Несанкционированное копирование или перенос данных из облачного аккаунта, обычно через API объектного хранилища, снапшоты, репликацию или подконтрольные злоумышленнику аккаунты.
- cloud-security№ 255
Находка CSPM
Оповещение, формируемое инструментом Cloud Security Posture Management при нарушении облачным ресурсом бенчмарка безопасности, политики или требований комплаенса.