ref: https://www.cyberark.com/resources/threat-research-blog/securing-kubernetes-clusters-by-eliminating-risky-permissions
本篇文章是一個基礎分享文,整個主軸圍繞於 Authentication 與 Authorization 兩大塊,同時透過這兩大概念的介紹來分享一些會可能會有資安問題的設定
開頭作者探討了 Kubernetes 的架構,並且將 API Server 這個重點核心拿來出探討,提到為了存取 Kubernetes API,使用者必須要經過三個階段的處理,分別是
Authentication, Authorization 以及 Admission Control
接者用一個簡單的流程來說明上述三者的差異,假設今天有一個 Client 想要請求 API Server 幫忙創建一個 Pod 的物件。
首先 API Server 會針對該請求進行 Authentication 的檢查,通常情況下會使用 Certificate, Tokens, Basic Authentication(username/password) 來判別。
如果通過後,則會進入到 Authorization 的階段,該階段要判別發送當前 Request 的 Client 是否擁有創建 Pod 的權限,如果有權限就會把相關操作交給後續的 Admission Control 來處理。
文章中舉了一個名為 AlwaysPullImages 的 Admission Controller,該 Controller 對於一個多用戶的 Kubernetes Cluster 來說特別有用,主要是用來確保使用者 A 想要使用的 Private Image 不能被使用者 B 存取。
試想一個情況,假設今天使用者 A 順利於 NodeA 上抓取了自己的 Private Image,那使用者 B 假如很剛好知道這個 Image 的名稱,是不是有機會就可以不需要相關權限直接使用 NodeA 上的 Image?
所以這個 Admission Controller 就是用來避免這個問題的。
接者作者從 Authentication 與 Authorization 中個挑選一個方式來介紹並且講解這兩者如何結合的。
Authentication 使用的是 Service Account Token,管理會事先於 Kubernetes 內創立一個相關的 Service Account,並且把該 SA(Service Account) 的 Token 給交給 Client(Kubeconfig 也可)
Client 發送 HTTPS 請求到 API Server 的時候就可以夾帶這個 Token 的資訊,這樣 API Server 就會去檢查該 Token 是否存在於 Cluster 內。
事實上當每個 Pod 被創立後, Kubernetes 預設情況下就會將該 namespace 下的 service account 資訊給掛載到該 Pod 內的 "/var/run/secrets/kubernetes.io/serviceaccount" 這個路徑
這樣該 Pod 就可以使用該 Service Account Token 的資訊與 API Server 溝通。
Authorization 則是使用 RBAC 的方式來處理, RBAC 由三個部分組成,分別是 Role(代表可以針對 Cluster 進行什麼樣類型的操作,譬如 create pod, delete pod), Subject(你是誰,譬如 Service Account), RoleBinding(用來將 Role 與 Subject 給綁定)
管理員要創建並且管理這些叢集的話,就要好好的去設計這三個物件的關係,來確保最後的 Client 可以擁有剛剛好符合其需求的權限,千萬不要為了懶散而給予過多權限。
接者作者列舉了五種 Risky permissions 的可能情境
1. Listing secrets
大部分的應用程式開發者都會使用 secret 的物件來管理一些機密資訊,如帳號密碼,憑證等,所以一個擁有 list secrets 的 service account 其實是相對危險的。
非必要的話,不要讓管理員以外的任何使用者有這個權限,特別是使用 ClusterRole/ClusterRoleBinding 時要特別注意
2. Creating a pod with a privileged service account
假設今天有一個攻擊者已經獲得一個可以創建 pod 的 service account,那該攻擊者已經可以很順利的於叢集內創建 Pod 去進行基本操作(譬如挖礦)
如果攻擊者很巧地又知道目標 namespace 內存在一個很強的 service account,它就有辦法讓他創立的 Pod 去使用這個很強的 Service Account 並且進行更多後續操作
3. Impersonating privileged accounts
作者提到 Impersonating 這個 Role 裡面的動作要特別小心使用,擁有這個權限的使用者可以輕鬆化身為其他的使用者/群組
舉例來說,一個擁有 Impersonating -> users/group 的 serviceaccount 是沒有辦法看到任何 secrets 的物件。
但是攻擊者只要使用的時候加上 --as=null --as-group=system:master 則就會變成如 master 般的上帝擁有這些權限
因此這種權限設定上要特別小心
4. Reading a secret – brute-forcing token IDs
5. Creating privileged RoleBindings
後續兩個有興趣的可以參考全文,都是滿有趣的一些想法,值得閱讀擴展自己的認知
同時也有10000部Youtube影片,追蹤數超過2,910的網紅コバにゃんチャンネル,也在其Youtube影片中提到,...
「nodea」的推薦目錄:
- 關於nodea 在 矽谷牛的耕田筆記 Facebook 的精選貼文
- 關於nodea 在 君子馬蘭頭 - Ivan Li 李聲揚 Facebook 的最佳貼文
- 關於nodea 在 張新悅 Nicola Cheung Facebook 的最讚貼文
- 關於nodea 在 コバにゃんチャンネル Youtube 的最佳解答
- 關於nodea 在 大象中醫 Youtube 的最佳貼文
- 關於nodea 在 大象中醫 Youtube 的精選貼文
- 關於nodea 在 Nodea Software - GitHub 的評價
- 關於nodea 在 Gabriela Nodea | Facebook 的評價
- 關於nodea 在 Interviu cu Andrei "DeathAngel" Nodea, jucator profesionist de ... 的評價
- 關於nodea 在 Landing Page design - Nodea - Pinterest 的評價
- 關於nodea 在 xml - XPath: Default to 'Node A', select 'Node B' instead if ... 的評價
nodea 在 君子馬蘭頭 - Ivan Li 李聲揚 Facebook 的最佳貼文
[芬蘭航空炒人]不過炒晒芬蘭人
彭博link:Finnair to Cut 1,000 Jobs as Virus Rips Through Its Business (https://bityl.co/3Dk3)
TL:DR —國企喎。不過可能失業救濟好過出糧?市場就十分歡迎呢個決定
1. 芬蘭航空炒人。炒15%人喎,預咗啦,冇乜特別。但,估下炒邊度嘅人?原來差不多炒晒芬蘭嘅員工。夠唔夠奇怪?仲要其實係國企,芬蘭政府渣56%(北歐式資本主義嘅嘢)。
2. 我記得匯豐國泰等等炒人,總有人講香港嘅公司(匯豐都香港公司?!?!),但就炒香港人。當然我估芬蘭政府福利好,炒咗一樣好好救濟,甚至炒咗救濟好過份正職人工都唔奇,所以不一定有可比性。
3. 但又同時,其實之前芬蘭航空都畀人勁鬧,因為之前係唔機組人員戴口罩的,但應該之後已改。
4. 最正係乜?最正係,出完呢單新聞,股價升8%。原因當然你都估到。固然你可以鬧資本家冷血乜乜(但,唏,政府大股東喎),但個世界就唔係好似你啲網友咁講,「算死草減成本冇用,會影響士氣破壞品牌,應該諗下點開源」。點開源呢?赫爾辛基飛去羅凡尼美?
5. 又,當年我就由赫爾辛基去羅凡尼美,但坐火車,十分爽。過夜火車,窮嘛,又浪漫。仲要有得沖涼!有花洒的!但遺憾冇玩火車震!同女去啦梗係。二人包箱,真係可以火車震的。同場加映,隔離房班小朋友嘈到九彩(所以隔音唔好,都係唔好火車震)。女友訓唔著,怒不可遏,用字正腔圓的英式英文去教訓班小朋友。結果小朋友靜晒—十五分鐘。之後再嘈過。
6. 芬蘭航空,我以為坐過,但再查真啲,係冇嘅。當年在芬蘭係瑞典坐船過去。隻船好好玩的說,夜晚上第朝到,仲成功解鎖船上做愛嘅成就添。(有房啦大佬,唔係鐵達尼)。走呢?就坐巴士,由呢個搵笨實嘅聖誕老人村羅凡尼美(*),坐咗巴士去北角(挪威嗰個),十幾個鐘!同一個司機開!仲要係個女仔,仲要搬埋貨。
7. 又,芬蘭航空,就當然在芬蘭上市(咩呀?老奉架?奧地利航空都唔係奧地利上市,愛爾蘭航空都唔係愛爾蘭上市)。赫爾辛基交易所。指數係OMX25,當然係廿五隻— 但係冇芬蘭航空份。太細,7億euro 市值,細過王維基隻HKTVMALL 1137!
8. OMX25 最大嘅公司?你估到了,Nokia。你仲識邊間芬蘭公司丫?其實仲有間Nodea,不過好多人以為係瑞典丹麥嘢。呀,仲有,Angry Bird,Rovio.亦係幾億歐元市值,未入到OMX25,不過實情市值同芬蘭航空都差不多咋。Marimekko?都係上市公司,不過再細啲。
9. 講返,因為Nokia 獨大(兩百幾億歐元市值架),所以在OMX25佢嘅比重cap咗上限係10%,正如香港騰訊長期都cap在10%。以前匯豐都係,而家搞搞下甚至唔到10%了。
(*)羅凡尼美已經在北極圈內,此地除咗聖誕老人村同北極館出名,第三樣名產就係假波,假到馬會都唔開盤,「芬假」唔係浪得虛名。呀,仲有,當時佢有地球上最北嘅麥當勞(https://bityl.co/3DkA),我都有幫襯。留意唔係在冰島—根本成個冰島都在北極圈內,唔信你拎個地圖睇下。後來呢個最北麥當勞就好似被俄羅斯某地取代咗。呀仲有,最南最東我唔知,但地球最西嘅麥當勞,當然係在香港
--------------------------------------------------
Ivan Patreon 狼耳街華人,一個星期至少三篇,一個月一舊水唔使,兩星期已超過400人訂,仲有兩篇免費試睇:https://bit.ly/31QmYj7
---------------------------------------------------------
[收費短片第八擊]美國總統大選買股部署
課程資訊:https://homebloggerhk.com/course_detail/?code=CC008
到上link會見到紅色按扭直接購買及觀看
題目:「美國總統大選買股部署」 /cc008
內容:
*美國總統大選買股部署
*美股8月終極一升,然後…
*制裁美國上市中資股,有七後果?
*蘋果2萬億市值,之後點?。下間2萬億市值係?
*未買記得買返CCO06(下半年選股)同CC007(買金)
本星期內特惠售價: $80
課程編號:CC008
觀看期限:首次播放後一星期及限每影片4次
客服whatsapp: 63832145
nodea 在 張新悅 Nicola Cheung Facebook 的最讚貼文
有得揀當然係選擇沒有化學成份的護髮產品。全新專為乾旱頭髮的保濕配方天然洗頭水和護髮素。Formulated for dry hair - that’s me!
#JMOhk #JohnMastersOrganic #JohnMastersOrganicsHK #organicshampoo #洗髮露 #潤髮乳 #newShampoo #newConditioner #NoParabens #nonGMO #noDEA #noSulfates #無人造色素 #無香料
nodea 在 コバにゃんチャンネル Youtube 的最佳解答
nodea 在 大象中醫 Youtube 的最佳貼文
nodea 在 大象中醫 Youtube 的精選貼文
nodea 在 Gabriela Nodea | Facebook 的推薦與評價
No photo description available. Gabriela Nodea, profile picture. Gabriela Nodea. Friends · Photos. ... <看更多>
nodea 在 Interviu cu Andrei "DeathAngel" Nodea, jucator profesionist de ... 的推薦與評價
DH 2012 - Interviu cu Andrei "DeathAngel" Nodea, jucator profesionist de StarCraft2. PGL. PGL. 243K subscribers. Subscribe. Like. ... <看更多>
nodea 在 Nodea Software - GitHub 的推薦與評價
Nodea Software has 6 repositories available. ... Nodea database MariaDB for docker image nodeasoftware/nodea-database-mariadb. Dockerfile. ... <看更多>