Comment sécuriser Kubernetes en 2022 ?

Kubernetes CISA 2022

L’ANSSI américaine a mis à jour le guide de sécurité Kubernetes qu’elle avait publié à l’été 2021. Quelles sont ses nouvelles recommandations ?

Comment sécuriser Kubernetes ? À six mois d’intervalle, la CISA – homologue américaine de l’ANSSI – ne donne pas tout à fait la même réponse. Tout du moins dans son guide de référence sur le sujet, publié à l’été 2021… et récemment mis à jour.

D’une version à l’autre, il y a des évolutions sur la forme, le lexique et les schémas explicatifs. Mais aussi et surtout sur le fond. Avec des affirmations parfois plus directes. Par exemple, à propos des configurations par défaut chez les fournisseurs cloud, « généralement pas sécurisées ».

Concernant la surface d’attaque que représente Kubernetes, la CISA détaille une source de compromission supplémentaire. En l’occurrence, le runtime. Et les risques qu’il présente en matière d’isolation insuffisante des conteneurs.

schéma Kubernetes
le nouveau schéma référent de la CISA pour Kubernetes

Sur la partie « sécurisation des images de conteneurs », une précision : il existe, pour restreindre les dépôts utilisables dans l’environnement de dev, des contrôles qui peuvent s’appliquer au niveau de la plate-forme ou du réseau. Et une recommandation : les analyses devraient permettre d’ignorer les faux positifs après vérification.

Sur la sécurité des pods, changement de braquet. La méthode PSP (Pod Security Policy, applicable à l’échelle du cluster) est obsolète. On est invité à passer à PSA (Pod Security Admission), activé par défaut depuis Kubernetes 1.23 et qui catégorise les pods.

procédure build

Journalisation : la CISA voit plus large pour Kubernetes

Au niveau du réseau, on retiendra les nouveaux conseils suivants :

– Configurer TLS pour les services qu’on compte exposer hors des clusters
– Utiliser des réseaux séparés pour les nœuds et les composantes du plan de contrôle
– Attribuer à etcd un certificat TLS distinct (voire une autorité de certification dédiée), tout en chiffrant le magasin au repos
– Attribuer des rôles uniques aux utilisateurs, administrateurs, développeurs, comptes de services et membres de l’équipe infra

Sur le volet journalisation, la CISA a ajouté des éléments à monitorer. Nommément :

– Montage de volume
– Modifications d’images / de conteneurs
– Changement de privilèges
– Création et modification de tâches cron

L’agence américaine recommande par ailleurs de se limiter aux métadonnées pour la journalisation des requêtes qui impliquent des secrets. Elle rappelle plus globalement qu’il est possible d’adapter le niveau de journalisation pour les événements non critiques. Et suggère de configurer le démon syslog pour transférer automatiquement les journaux à un back-end externe.

Autre nouveauté : une sous-section « détection des menaces ». Elle contient un tableau des principales actions potentielles d’attaquants ; et des indicateurs dans les logs. La CISA liste, en parallèle, trois cas supplémentaires susceptibles de déclencher des alertes :

– Changement du contexte de sécurité d’un pod
– Mise à jour de la configuration d’un contrôleur d’admission
– Accès à des fichiers et/ou des URL sensibles

Illustration principale © Dmitry Kovalchuk – Adobe Stock