¿Usas GKE (Kubernetes en Google)? Tus clusters pueden estar abiertos a cualquier usuario de Google 🚨

¿Usas GKE (Kubernetes en Google)? Tus clusters pueden estar abiertos a cualquier usuario de Google 🚨
Español SRE Security Kubernetes Infrastructure DevSecOps Cloud Selected content DevOps
Author: | Published on 26 January 2024

Ojo con el grupo system:authenticated en GKE, que incluye a todas las cuentas de Google, incluidas las tuyas. Esto abre tu cluster a básicamente cualquier usuario autenticado en cualquier servicio Google.

Recomendaciones

Para evitarlo, ten cuidado con los permisos que le das a ese grupo. En particular, no le des permiso para crear o administrar recursos críticos.

También puedes usar herramientas de supervisión y auditoría para detectar cualquier cambio no deseado en permisos, accesos, credenciales, etc.

Recomendaciones específicas

  • Si utilizas RBAC, chequea permisos que tiene el grupo.
  • Asegúrate de que solo los usuarios que lo necesitan tengan acceso a los recursos que necesitan.
  • Implementa un proceso de supervisión y auditoría para detectar vulnerabilidades y configuraciones erróneas, que sean compatibles con tu flujo de trabajo y tus equipos.

Esta característica de GKE es intencionada y no es una vulnerabilidad, por eso, es importante que los usuarios de GKE administren meticulosamente sus permisos RBAC para evitar problemas.

Fuente

How to Secure GKE’s Achilles Heel using RBAC?
GKE Security Blindspot: “system:authenticated” Group! Patch the vulnerability with RBAC. Protect your cluster from unauthorized access. ➡️ **
ARMOBen Hirschberg
Nicolás Georger

Nicolás Georger

Self-taught IT professional driving innovation & social impact with cybernetics, open source (Linux, Kubernetes), AI & ML. Building a thriving SRE/DevOps community at SREDevOps.org. I specialize in simplifying solutions through cloud native technologies and DevOps practices.

Website Twitter Facebook Email Chile