Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 671

Атака на кластер Kubernetes

ПроверилCybersecurity entrepreneur & security researcher

Что такое Атака на кластер Kubernetes?

Атака на кластер KubernetesВторжение в кластер Kubernetes (K8s) с использованием открытых API, слабого RBAC или уязвимых нагрузок для захвата контроля над control plane или рабочими узлами.


Атака на кластер Kubernetes нацелена на kube-apiserver, kubelet, etcd или сами рабочие нагрузки и направлена на выполнение кода, кражу секретов или захват кластера. Типичные точки входа: открытый без аутентификации kube-apiserver, доступные на запись порты kubelet, уязвимые admission-вебхуки, украденные токены service account и поды с избыточными привилегиями. От начальной точки атакующие ищут пути выхода из пода на узел через hostPath или привилегированные контейнеры, повторное использование токенов против API и злоупотребление RoleBinding к cluster-admin. Защита включает строгий RBAC, OIDC-аутентификацию, NetworkPolicy, runtime-безопасность (Falco, Tetragon), admission controllers (Kyverno, OPA Gatekeeper) и подписанные минимальные образы.

Примеры

  1. 01

    Открытый Kubelet API на порту 10250 позволяет произвольный exec в подах узла.

  2. 02

    Утекший токен service account дает право списка секретов во всех namespace.

Частые вопросы

Что такое Атака на кластер Kubernetes?

Вторжение в кластер Kubernetes (K8s) с использованием открытых API, слабого RBAC или уязвимых нагрузок для захвата контроля над control plane или рабочими узлами. Относится к категории Облачная безопасность в кибербезопасности.

Что означает Атака на кластер Kubernetes?

Вторжение в кластер Kubernetes (K8s) с использованием открытых API, слабого RBAC или уязвимых нагрузок для захвата контроля над control plane или рабочими узлами.

Как защититься от Атака на кластер Kubernetes?

Защита от Атака на кластер Kubernetes обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Атака на кластер Kubernetes?

Распространённые альтернативные названия: Компрометация кластера K8s, Вторжение в Kubernetes.

Связанные термины

См. также