Tunkeutumistestaaja sai pääkäyttäjän oikeudet Kubernetes-klusteriimme 15 minuutissa. Tässä on mitä he käyttivät hyväkseen. Hyökkäysketju: - Löytyi paljastunut Kubernetes-kojelauta (huono) - Kojelaudalla oli vain katselu -palvelutili (ajattelimme, että tämä oli turvallista) - Palvelutili voi luetella salaisuuksia kaikissa nimiavaruuksissa - Löysi AWS-tunnukset salaisuudesta - Käytin AWS-tunnuksia EC2-instanssiprofiilin käyttämiseen - Esiintymäprofiililla oli täysi Kubernetes-järjestelmänvalvoja IAM:n kautta - Käytti kubectl:ää etuoikeutetun podin luomiseen - Pakennut solmuun - Pääkäyttäjän oikeudet koko klusteriin Mitä luulimme tehneemme oikein: - Kojelauta oli vain luku -tilassa - Salaisuudet salattiin levossa - Verkkokäytännöt olivat käytössä - Säännölliset tietoturvapäivitykset Mitä meiltä jäi paitsi: - Kojelautaa ei pitäisi paljastaa ollenkaan - Palvelutilit tarvitsevat pienimmän oikeuden periaatteen - Salaisuudet eivät saa sisältää AWS-tunnistetietoja (käytä sen sijaan IRSA:ta) - Pod-suojauskäytäntöjä ei valvottu - Solmun käyttöä ei kovennettu Korjaus kesti 2 viikkoa: - Poistettu Kubernetes-kojelauta kokonaan - Toteutettu IRSA kaikille pod AWS -käyttöoikeuksille - Sovellettu tiukkoja PSP/Pod-turvallisuusstandardeja...