Comment sécuriser Kubernetes ? À six mois d’intervalle, la CISA – homologue américaine de l’ANSSI – ne donne pas tout à fait la même réponse. Tout du moins dans son guide de référence sur le sujet, publié à l’été 2021… et récemment mis à jour.
D’une version à l’autre, il y a des évolutions sur la forme, le lexique et les schémas explicatifs. Mais aussi et surtout sur le fond. Avec des affirmations parfois plus directes. Par exemple, à propos des configurations par défaut chez les fournisseurs cloud, « généralement pas sécurisées ».
Concernant la surface d’attaque que représente Kubernetes, la CISA détaille une source de compromission supplémentaire. En l’occurrence, le runtime. Et les risques qu’il présente en matière d’isolation insuffisante des conteneurs.
Sur la partie « sécurisation des images de conteneurs », une précision : il existe, pour restreindre les dépôts utilisables dans l’environnement de dev, des contrôles qui peuvent s’appliquer au niveau de la plate-forme ou du réseau. Et une recommandation : les analyses devraient permettre d’ignorer les faux positifs après vérification.
Sur la sécurité des pods, changement de braquet. La méthode PSP (Pod Security Policy, applicable à l’échelle du cluster) est obsolète. On est invité à passer à PSA (Pod Security Admission), activé par défaut depuis Kubernetes 1.23 et qui catégorise les pods.
Au niveau du réseau, on retiendra les nouveaux conseils suivants :
– Configurer TLS pour les services qu’on compte exposer hors des clusters
– Utiliser des réseaux séparés pour les nœuds et les composantes du plan de contrôle
– Attribuer à etcd un certificat TLS distinct (voire une autorité de certification dédiée), tout en chiffrant le magasin au repos
– Attribuer des rôles uniques aux utilisateurs, administrateurs, développeurs, comptes de services et membres de l’équipe infra
Sur le volet journalisation, la CISA a ajouté des éléments à monitorer. Nommément :
– Montage de volume
– Modifications d’images / de conteneurs
– Changement de privilèges
– Création et modification de tâches cron
L’agence américaine recommande par ailleurs de se limiter aux métadonnées pour la journalisation des requêtes qui impliquent des secrets. Elle rappelle plus globalement qu’il est possible d’adapter le niveau de journalisation pour les événements non critiques. Et suggère de configurer le démon syslog pour transférer automatiquement les journaux à un back-end externe.
Autre nouveauté : une sous-section « détection des menaces ». Elle contient un tableau des principales actions potentielles d’attaquants ; et des indicateurs dans les logs. La CISA liste, en parallèle, trois cas supplémentaires susceptibles de déclencher des alertes :
– Changement du contexte de sécurité d’un pod
– Mise à jour de la configuration d’un contrôleur d’admission
– Accès à des fichiers et/ou des URL sensibles
Illustration principale © Dmitry Kovalchuk – Adobe Stock
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…