Kubernetes API Server 1. フロントエンド Pod から トークンを取得 2. トークンを利用し、 API サーバーを攻撃 3. シークレットなどを取得 し、さらに サービスを攻撃 Kubernetes Cluster Web Frontend Redis NGWord message ① ② ③
Mitigate 1 & 2: RBAC ● Role Based Access Control ● ユーザーやサービスアカウントへロールを付与 ● ロールが権限を持つ ○ get secrets ○ update configmap ○ etc. ● RBAC 設定はネームスプペース範囲 ● GKE では IAM と連携
Mitigate 2: API Server Firewall ● API サーバーへのアクセスを IP アドレスに制限 ● GKE: ○ gcloud container clusters create --enable-master-authorized-networks --master-authorized-networks=....