┬┐Usas GKE (Kubernetes en Google)? Tus clusters pueden estar abiertos a cualquier usuario de Google ­čÜĘ

┬┐Usas GKE (Kubernetes en Google)? Tus clusters pueden estar abiertos a cualquier usuario de Google ­čÜĘ
Imagen: https://cast.ai/blog/gke-security-top-10-strategies-for-securing-your-cluster/

Ojo con el grupo system:authenticated en GKE, que incluye a todas las cuentas de Google, incluidas las tuyas. Esto abre tu cluster a básicamente cualquier usuario autenticado en cualquier servicio Google.

Recomendaciones

Para evitarlo, ten cuidado con los permisos que le das a ese grupo. En particular, no le des permiso para crear o administrar recursos cr├şticos.

Tambi├ęn puedes usar herramientas de supervisi├│n y auditor├şa para detectar cualquier cambio no deseado en permisos, accesos, credenciales, etc.

Recomendaciones espec├şficas

  • Si utilizas RBAC, chequea permisos que tiene el grupo.
  • Aseg├║rate de que solo los usuarios que lo necesitan tengan acceso a los recursos que necesitan.
  • Implementa un proceso de supervisi├│n y auditor├şa para detectar vulnerabilidades y configuraciones err├│neas, que sean compatibles con tu flujo de trabajo y tus equipos.

Esta caracter├şstica de GKE es intencionada y no es una vulnerabilidad, por eso, es importante que los usuarios de GKE administren meticulosamente sus permisos RBAC para evitar problemas.

Fuente

How to Secure GKEÔÇÖs Achilles Heel using RBAC?
GKE Security Blindspot: ÔÇťsystem:authenticatedÔÇŁ Group! Patch the vulnerability with RBAC. Protect your cluster from unauthorized access. Ô×í´ŞĆ **

Keep reading on SREDevOps.org: