Per què Kubernetes és un objectiu prioritari

El 2024, Kubernetes va ser el component d'infraestructura més citat en incidents de cloud security. Les raons: configuracions permissives per defecte, superfície d'atac amplíssima i adopció massiva sense formació en seguretat.

1. API Server

  • --anonymous-auth=false — Mai anònim
  • --authorization-mode=RBAC,Node — RBAC sempre
  • --audit-log-path=/var/log/k8s-audit.log — Audit logging
  • --tls-min-version=VersionTLS12 — TLS 1.2 mínim

2. RBAC: mínim privilegi

Regla d'or: mai facis servir cluster-admin en producció excepte per a l'administrador humà del cluster.

Defineix Roles amb namespace específic i només els verbs necessaris.

3. Pod Security Standards

Fer servir el perfil restricted als namespaces de producció. Bloqueja: contenidors com a root, privileged containers, HostNetwork/HostPID i capabilities perilloses.

4. Secrets xifrats a etcd

Base64 no és xifratge. Activar EncryptionConfiguration o fer servir HashiCorp Vault amb el CSI Secrets Store Driver.

5. Network Policies

Deny-all per defecte a cada namespace de producció, després afegir regles explícites per als fluxos necessaris.

Eines d'auditoria

  • kube-bench — CIS Benchmark automàtic
  • Trivy — Escaneig d'imatges i manifests
  • Falco — Detecció d'amenaces en runtime