Penetrační tester získal root přístup k našemu Kubernetes clusteru za 15 minut. Zde je to, co využili. Řetězec útoků: - Nalezen vystavený řídicí panel Kubernetes (náš špatný) - Dashboard měl účet služby pouze pro prohlížení (mysleli jsme si, že je to bezpečné) - Účet služby může vypsat tajné kódy ve všech oborech názvů - Nalezení přihlašovacích údajů AWS v tajném kódu - Použité přihlašovací údaje AWS pro přístup k profilu instance EC2 - Profil instance měl plnou správu Kubernetes prostřednictvím IAM - Použil kubectl k vytvoření privilegovaného podu - Escapováno do uzlu - Root přístup k celému clusteru Co jsme si mysleli, že jsme udělali správně: - Dashboard byl pouze pro čtení - Tajné kódy byly v klidovém stavu zašifrovány - Byly zavedeny síťové politiky - Pravidelné aktualizace zabezpečení Co jsme vynechali: - Dashboard by neměl být vůbec vystaven - Účty služeb potřebují princip nejnižších oprávnění - Tajné kódy by neměly obsahovat přihlašovací údaje AWS (místo toho použijte IRSA) - Zásady zabezpečení podů nebyly vynuceny - Přístup k uzlu nebyl posílen Oprava trvala 2 týdny: - Zcela odstraněn řídicí panel Kubernetes - Implementováno IRSA pro všechny pod AWS přístupy - Uplatňování přísných bezpečnostních standardů pro poskytovatele platebních služeb/pody...