Penguji penetrasi mendapatkan akses root ke klaster Kubernetes kami dalam 15 menit. Inilah yang mereka eksploitasi. Rantai serangan: - Menemukan dasbor Kubernetes yang terekspos (buruk kami) - Dasbor memiliki akun layanan hanya-lihat (kami pikir ini aman) - Akun layanan dapat mencantumkan rahasia di semua namespace - Menemukan kredensial AWS dalam rahasia - Menggunakan kredensial AWS untuk mengakses profil instans EC2 - Profil instans memiliki admin Kubernetes lengkap melalui IAM - Menggunakan kubectl untuk membuat pod istimewa - Lolos ke node - Akses root ke seluruh kluster Apa yang kami pikir kami lakukan dengan benar: - Dasbor hanya baca - Rahasia dienkripsi saat tidak aktif - Kebijakan jaringan telah diterapkan - Pembaruan keamanan rutin Apa yang kami lewatkan: - Dasbor tidak boleh diekspos sama sekali - Akun layanan membutuhkan prinsip hak istimewa paling sedikit - Rahasia tidak boleh berisi kredensial AWS (gunakan IRSA sebagai gantinya) - Kebijakan Keamanan Pod tidak diterapkan - Akses simpul tidak diperkuat Perbaikannya memakan waktu 2 minggu: - Menghapus dasbor Kubernetes sepenuhnya - Menerapkan IRSA untuk semua akses AWS pod - Menerapkan Standar Keamanan PSP/Pod yang ketat...