Một chuyên gia kiểm tra xâm nhập đã có quyền truy cập root vào cụm Kubernetes của chúng tôi trong 15 phút. Đây là những gì họ đã khai thác. Chuỗi tấn công: - Tìm thấy bảng điều khiển Kubernetes bị lộ (lỗi của chúng tôi) - Bảng điều khiển có tài khoản dịch vụ chỉ xem (chúng tôi nghĩ rằng điều này là an toàn) - Tài khoản dịch vụ có thể liệt kê các bí mật trên tất cả các không gian tên - Tìm thấy thông tin xác thực AWS trong một bí mật - Sử dụng thông tin xác thực AWS để truy cập vào hồ sơ phiên EC2 - Hồ sơ phiên có quyền quản trị Kubernetes đầy đủ thông qua IAM - Sử dụng kubectl để tạo pod có quyền hạn - Thoát ra nút - Quyền truy cập root vào toàn bộ cụm Những gì chúng tôi nghĩ rằng chúng tôi đã làm đúng: - Bảng điều khiển chỉ đọc - Các bí mật được mã hóa khi lưu trữ - Chính sách mạng đã được thiết lập - Cập nhật bảo mật thường xuyên Những gì chúng tôi đã bỏ lỡ: - Bảng điều khiển không nên bị lộ chút nào - Tài khoản dịch vụ cần nguyên tắc quyền tối thiểu - Các bí mật không nên chứa thông tin xác thực AWS (sử dụng IRSA thay vào đó) - Chính sách bảo mật pod không được thực thi - Quyền truy cập nút không được củng cố Việc sửa chữa mất 2 tuần: - Xóa hoàn toàn bảng điều khiển Kubernetes - Triển khai IRSA cho tất cả quyền truy cập AWS của pod - Áp dụng PSPs/Chuẩn bảo mật pod nghiêm ngặt...