k8s (in)security

Относительно OWASP Kubernetes Top 10 из прошлого поста. Как и в любом рейтинге (ничем не подкрепленным) любая позиция в нем дискуссионная, так что на порядок, в котором тут расставлены риски я бы не обращал внимания - хорошо смотреть на картину в целом.

Хотя позиция K01:2022 Insecure Workload Configurations тут явно не поколебима - потому что это касается любого YAML, а у нас все в Kubernetes то YAML.

При этом на мой взгляд первая позиция неразрывно связанна с K04:2022 Lack of Centralized Policy Enforcement ведь первый риск решается (как вариант) с помощью Policy Enforcement (PolicyEngine) - нужно было ли это прямо в отдельный пункт выносить - не знаю. При том что упоминание PolicyEngine есть почти в каждом из пунктов.

Удивило полное отсутствие упоминание Runtime Security в данном перечне, этого даже в скользь нет в K05:2022 Inadequate Logging and Monitoring ... Хотя почти во всех примерах приводят ситуации, когда атакующий что-то выполняет в контейнерах. Таким образом авторы как-то взяли и выкинули всеми любимый кейс с запуском майнеров вообще.

Так же на мой взгляд сейчас остро стоит вопрос с Multitenancy в Kubernetes и как один из рисков, когда один из tenant нарушает изоляцию другого. И это куда распространённее чем тот же K06:2022 Broken Authentication Mechanisms.

По и тогу я бы K04:2022 и K06:2022 заменил бы на Runtime Security (точнее Malware activity) и Multitenancy (точнее Isolation missing).

А какие у вас мысли по данному рейтингу?

GitHub

GitHub - OWASP/www-project-kubernetes-top-ten: OWASP Foundation Web Respository

OWASP Foundation Web Respository. Contribute to OWASP/www-project-kubernetes-top-ten development by creating an account on GitHub.

www.tgoop.com/k8security/626

2.8K viewsДмитрий Евдокимов, Jul 21, 2022 at 05:26

Относительно OWASP Kubernetes Top 10 из прошлого поста. Как и в любом рейтинге (ничем не подкрепленным) любая позиция в нем дискуссионная, так что на порядок, в котором тут расставлены риски я бы не обращал внимания - хорошо смотреть на картину в целом.

Хотя позиция K01:2022 Insecure Workload Configurations тут явно не поколебима - потому что это касается любого YAML, а у нас все в Kubernetes то YAML.

При этом на мой взгляд первая позиция неразрывно связанна с K04:2022 Lack of Centralized Policy Enforcement ведь первый риск решается (как вариант) с помощью Policy Enforcement (PolicyEngine) - нужно было ли это прямо в отдельный пункт выносить - не знаю. При том что упоминание PolicyEngine есть почти в каждом из пунктов.

Удивило полное отсутствие упоминание Runtime Security в данном перечне, этого даже в скользь нет в K05:2022 Inadequate Logging and Monitoring ... Хотя почти во всех примерах приводят ситуации, когда атакующий что-то выполняет в контейнерах. Таким образом авторы как-то взяли и выкинули всеми любимый кейс с запуском майнеров вообще.

Так же на мой взгляд сейчас остро стоит вопрос с Multitenancy в Kubernetes и как один из рисков, когда один из tenant нарушает изоляцию другого. И это куда распространённее чем тот же K06:2022 Broken Authentication Mechanisms.

По и тогу я бы K04:2022 и K06:2022 заменил бы на Runtime Security (точнее Malware activity) и Multitenancy (точнее Isolation missing).

А какие у вас мысли по данному рейтингу?

BY k8s (in)security