1. 개념 RBAC을 다양하게 조합해 리소스에 대한 권한 제어 가능 RBAC의 적용 범위는 네임스페이스 단위(role) vs 클러스터 단위(cluster role)로 나뉨 2. Role 조합 role / clusterRole / roleBinding / clusterRoleBinding 조합 가능 role + roleBinding = 유저 X에게 하나의 NS의 권한을 할당 clusterRole + clusterRoleBinding = 유저X에게 모든 NS의 권한을 할당 clusterRole + roleBinding = 유저 X에게 두 개 이상의 NS의 권한을 할당 3. 우선순위 role의 중첩이 발생하는 경우 additive한 RBAC의 특성으로 인해 아래와 같은 상황에서 유저 X는 get, delete..
1. 소개 K8s 클러스터와 Pod의 이미지에 대한 취약점을 점검하는 다양한 오픈소스가 존재 대표적인 몇 가지를 소개 kube-bench trivy kubesec 2. kube-bench 공식 레포 CIS 벤치마크를 기반으로 클러스터의 취약점을 점검 3. trivy 공식 레포 클러스터 및 pod 이미지에 대한 취약점을 점검 4. kubesec 공식 홈페이지 스코어링 기반으로 yaml 내용의 취약점을 점검 5. 참고 https://www.youtube.com/watch?v=d9xfB5qaOfg&ab_channel=KillerShell
1. 개념 관리형 쿠버네티스의 Node(EC2)에서 IMDS에 접근 가능할 경우 Pod에서도 접근 가능 IMDS에 크레덴셜이 저장되어 있을 가능성이 존재하므로 NetworkPolicies를 활용해 metadata 접근제어 필요 2. NetworkPolicies 설정 (1) 모든 파드의 egress 통신은 허용하되 IMDS 접근은 차단 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: pol1 namespace: default spec: podSelector: {} policyTypes: - Egress egress: - to: - ipBlock: cidr: 0.0.0.0/0 except: - 169.254.169.254/32 (2)..
