Por qué Kubernetes es un objetivo prioritario

En 2024, Kubernetes fue el componente de infraestructura más citado en incidentes de cloud security. Las razones: configuraciones permisivas por defecto, superficie de ataque amplísima y adopción masiva sin formación en seguridad.

1. API Server

  • --anonymous-auth=false — Nunca anónimos
  • --authorization-mode=RBAC,Node — RBAC siempre
  • --audit-log-path=/var/log/k8s-audit.log — Audit logging
  • --tls-min-version=VersionTLS12 — TLS 1.2 mínimo

2. RBAC: mínimo privilegio

Regla de oro: nunca uses cluster-admin en producción salvo para el administrador humano del cluster.

Define Roles con namespace específico y solo los verbos necesarios.

3. Pod Security Standards

Usar el perfil restricted en namespaces de producción. Bloquea: contenedores como root, privileged containers, HostNetwork/HostPID y capabilities peligrosas.

4. Secrets cifrados en etcd

Base64 no es cifrado. Activar EncryptionConfiguration o usar HashiCorp Vault con el CSI Secrets Store Driver.

5. Network Policies

Deny-all por defecto en cada namespace de producción, luego añadir reglas explícitas para los flujos necesarios.

Herramientas de auditoría

  • kube-bench — CIS Benchmark automático
  • Trivy — Escaneo de imágenes y manifiestos
  • Falco — Detección de amenazas en runtime