Les maillages de services, un atout pour protéger Kubernetes ? La CISA aborde la question dans un guide dédié à la sécurité de l’orchestrateur.
Qu’il s’agisse du chiffrement des secrets au repos, de l’isolation réseau ou des systèmes de fichiers en lecture seule, l’homologue américaine de notre ANSSI rappelle que de nombreuses fonctionnalités ne sont pas actives par défaut. Et que certaines ne sont pas natives à Kubernetes.
Tout au long du guide, on trouve des recommandations applicables au-delà des seuls environnements de conteneurs. Notamment le principe du moindre privilège, les mécanismes d’authentification robustes et l’application régulière des correctifs.
Concernant les pods, plus petite unité déployable avec Kubernetes, on retiendra, entre autres conseils :
L’isolation se joue aussi au niveau du trafic réseau. Par défaut, il existe peu de politiques susceptibles d’empêcher effectivement la latéralisation en cas de compromission d’un cluster. La CISA recommande d’en mettre en place avec un plug-in adéquat. Et d’y ajouter des politiques limitant l’usage des ressources (LimitRange, ResourceQuota). Elle conseille par ailleurs de :
La CISA s’arrête aussi sur la journalisation. Et plus particulièrement sur la jonction avec des services externes. Parmi eux, les SIEM, qui ne se sont pas tous mis à la page des microservices, leur fonctionnement « historique » reposant sur les IP pour corréler les logs.
Illustration principale © Dmitry Kovalchuk – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…