Por qué Kubernetes es un objetivo prioritario
En 2024, Kubernetes fue el componente de infraestructura más citado en incidentes de cloud security. Las razones: configuraciones permisivas por defecto, superficie de ataque amplísima y adopción masiva sin formación en seguridad.
1. API Server
--anonymous-auth=false— Nunca anónimos--authorization-mode=RBAC,Node— RBAC siempre--audit-log-path=/var/log/k8s-audit.log— Audit logging--tls-min-version=VersionTLS12— TLS 1.2 mínimo
2. RBAC: mínimo privilegio
Regla de oro: nunca uses cluster-admin en producción salvo para el administrador humano del cluster.
Define Roles con namespace específico y solo los verbos necesarios.
3. Pod Security Standards
Usar el perfil restricted en namespaces de producción. Bloquea: contenedores como root, privileged containers, HostNetwork/HostPID y capabilities peligrosas.
4. Secrets cifrados en etcd
Base64 no es cifrado. Activar EncryptionConfiguration o usar HashiCorp Vault con el CSI Secrets Store Driver.
5. Network Policies
Deny-all por defecto en cada namespace de producción, luego añadir reglas explícitas para los flujos necesarios.
Herramientas de auditoría
- kube-bench — CIS Benchmark automático
- Trivy — Escaneo de imágenes y manifiestos
- Falco — Detección de amenazas en runtime