Comment sécuriser Kubernetes ? À six mois d’intervalle, la CISA – homologue américaine de l’ANSSI – ne donne pas tout à fait la même réponse. Tout du moins dans son guide de référence sur le sujet, publié à l’été 2021… et récemment mis à jour.
D’une version à l’autre, il y a des évolutions sur la forme, le lexique et les schémas explicatifs. Mais aussi et surtout sur le fond. Avec des affirmations parfois plus directes. Par exemple, à propos des configurations par défaut chez les fournisseurs cloud, « généralement pas sécurisées ».
Concernant la surface d’attaque que représente Kubernetes, la CISA détaille une source de compromission supplémentaire. En l’occurrence, le runtime. Et les risques qu’il présente en matière d’isolation insuffisante des conteneurs.
Sur la partie « sécurisation des images de conteneurs », une précision : il existe, pour restreindre les dépôts utilisables dans l’environnement de dev, des contrôles qui peuvent s’appliquer au niveau de la plate-forme ou du réseau. Et une recommandation : les analyses devraient permettre d’ignorer les faux positifs après vérification.
Sur la sécurité des pods, changement de braquet. La méthode PSP (Pod Security Policy, applicable à l’échelle du cluster) est obsolète. On est invité à passer à PSA (Pod Security Admission), activé par défaut depuis Kubernetes 1.23 et qui catégorise les pods.
Au niveau du réseau, on retiendra les nouveaux conseils suivants :
– Configurer TLS pour les services qu’on compte exposer hors des clusters
– Utiliser des réseaux séparés pour les nœuds et les composantes du plan de contrôle
– Attribuer à etcd un certificat TLS distinct (voire une autorité de certification dédiée), tout en chiffrant le magasin au repos
– Attribuer des rôles uniques aux utilisateurs, administrateurs, développeurs, comptes de services et membres de l’équipe infra
Sur le volet journalisation, la CISA a ajouté des éléments à monitorer. Nommément :
– Montage de volume
– Modifications d’images / de conteneurs
– Changement de privilèges
– Création et modification de tâches cron
L’agence américaine recommande par ailleurs de se limiter aux métadonnées pour la journalisation des requêtes qui impliquent des secrets. Elle rappelle plus globalement qu’il est possible d’adapter le niveau de journalisation pour les événements non critiques. Et suggère de configurer le démon syslog pour transférer automatiquement les journaux à un back-end externe.
Autre nouveauté : une sous-section « détection des menaces ». Elle contient un tableau des principales actions potentielles d’attaquants ; et des indicateurs dans les logs. La CISA liste, en parallèle, trois cas supplémentaires susceptibles de déclencher des alertes :
– Changement du contexte de sécurité d’un pod
– Mise à jour de la configuration d’un contrôleur d’admission
– Accès à des fichiers et/ou des URL sensibles
Illustration principale © Dmitry Kovalchuk – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
