Pour gérer vos consentements :
Categories: Microservices

Comment sécuriser Kubernetes en 2022 ?

Comment sécuriser Kubernetes ? À six mois d’intervalle, la CISA – homologue américaine de l’ANSSI – ne donne pas tout à fait la même réponse. Tout du moins dans son guide de référence sur le sujet, publié à l’été 2021… et récemment mis à jour.

D’une version à l’autre, il y a des évolutions sur la forme, le lexique et les schémas explicatifs. Mais aussi et surtout sur le fond. Avec des affirmations parfois plus directes. Par exemple, à propos des configurations par défaut chez les fournisseurs cloud, « généralement pas sécurisées ».

Concernant la surface d’attaque que représente Kubernetes, la CISA détaille une source de compromission supplémentaire. En l’occurrence, le runtime. Et les risques qu’il présente en matière d’isolation insuffisante des conteneurs.

le nouveau schéma référent de la CISA pour Kubernetes

Sur la partie « sécurisation des images de conteneurs », une précision : il existe, pour restreindre les dépôts utilisables dans l’environnement de dev, des contrôles qui peuvent s’appliquer au niveau de la plate-forme ou du réseau. Et une recommandation : les analyses devraient permettre d’ignorer les faux positifs après vérification.

Sur la sécurité des pods, changement de braquet. La méthode PSP (Pod Security Policy, applicable à l’échelle du cluster) est obsolète. On est invité à passer à PSA (Pod Security Admission), activé par défaut depuis Kubernetes 1.23 et qui catégorise les pods.

Journalisation : la CISA voit plus large pour Kubernetes

Au niveau du réseau, on retiendra les nouveaux conseils suivants :

– Configurer TLS pour les services qu’on compte exposer hors des clusters
– Utiliser des réseaux séparés pour les nœuds et les composantes du plan de contrôle
– Attribuer à etcd un certificat TLS distinct (voire une autorité de certification dédiée), tout en chiffrant le magasin au repos
– Attribuer des rôles uniques aux utilisateurs, administrateurs, développeurs, comptes de services et membres de l’équipe infra

Sur le volet journalisation, la CISA a ajouté des éléments à monitorer. Nommément :

– Montage de volume
– Modifications d’images / de conteneurs
– Changement de privilèges
– Création et modification de tâches cron

L’agence américaine recommande par ailleurs de se limiter aux métadonnées pour la journalisation des requêtes qui impliquent des secrets. Elle rappelle plus globalement qu’il est possible d’adapter le niveau de journalisation pour les événements non critiques. Et suggère de configurer le démon syslog pour transférer automatiquement les journaux à un back-end externe.

Autre nouveauté : une sous-section « détection des menaces ». Elle contient un tableau des principales actions potentielles d’attaquants ; et des indicateurs dans les logs. La CISA liste, en parallèle, trois cas supplémentaires susceptibles de déclencher des alertes :

– Changement du contexte de sécurité d’un pod
– Mise à jour de la configuration d’un contrôleur d’admission
– Accès à des fichiers et/ou des URL sensibles

Illustration principale © Dmitry Kovalchuk – Adobe Stock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago