Bir sızma testi uzmanı, Kubernetes kümemize 15 dakika içinde root erişimi elde etti. İşte istismar ettikleri şey. Saldırı zinciri: - Açıkta kalan Kubernetes panosu bulundu (bizim hatamız) - Kontrol panelinde salt görüntüleme hizmet hesabı vardı (bunun güvenli olduğunu düşündük) - Hizmet hesabı tüm ad alanlarındaki gizli dizileri listeleyebilir - Gizli bir dizide AWS kimlik bilgileri bulundu - EC2 bulut sunucusu profiline erişmek için AWS kimlik bilgileri kullanıldı - Örnek profilinde IAM aracılığıyla tam Kubernetes yöneticisi vardı - Ayrıcalıklı pod oluşturmak için kubectl kullanıldı - Düğüme kaçtı - Kümenin tamamına kök erişimi Doğru yaptığımızı düşündüğümüz şey: - Pano salt okunurdu - Gizli diziler beklemedeyken şifrelendi - Ağ politikaları yürürlükteydi - Düzenli güvenlik güncellemeleri Kaçırdıklarımız: - Pano hiç gösterilmemelidir - Hizmet hesaplarının en az ayrıcalık ilkesine ihtiyacı vardır - Gizli diziler AWS kimlik bilgilerini içermemelidir (bunun yerine IRSA kullanın) - Pod Güvenlik İlkeleri uygulanmadı - Düğüm erişimi sağlamlaştırılmadı Düzeltme 2 hafta sürdü: - Kubernetes panosu tamamen kaldırıldı - Tüm pod AWS erişimi için IRSA uygulandı - Uygulanan katı PSP'ler/Pod Güvenlik Standartları...