Per què Kubernetes és un objectiu prioritari
El 2024, Kubernetes va ser el component d'infraestructura més citat en incidents de cloud security. Les raons: configuracions permissives per defecte, superfície d'atac amplíssima i adopció massiva sense formació en seguretat.
1. API Server
--anonymous-auth=false— Mai anònim--authorization-mode=RBAC,Node— RBAC sempre--audit-log-path=/var/log/k8s-audit.log— Audit logging--tls-min-version=VersionTLS12— TLS 1.2 mínim
2. RBAC: mínim privilegi
Regla d'or: mai facis servir cluster-admin en producció excepte per a l'administrador humà del cluster.
Defineix Roles amb namespace específic i només els verbs necessaris.
3. Pod Security Standards
Fer servir el perfil restricted als namespaces de producció. Bloqueja: contenidors com a root, privileged containers, HostNetwork/HostPID i capabilities perilloses.
4. Secrets xifrats a etcd
Base64 no és xifratge. Activar EncryptionConfiguration o fer servir HashiCorp Vault amb el CSI Secrets Store Driver.
5. Network Policies
Deny-all per defecte a cada namespace de producció, després afegir regles explícites per als fluxos necessaris.
Eines d'auditoria
- kube-bench — CIS Benchmark automàtic
- Trivy — Escaneig d'imatges i manifests
- Falco — Detecció d'amenaces en runtime