Last updated
El autor original de esta página es Guillaume
Tener una visión general puede ayudar a saber qué reglas están activas, en qué modo y quién puede eludirlas.
ConstraintTemplate y Constraint se pueden utilizar en Open Policy Agent (OPA) Gatekeeper para hacer cumplir reglas en recursos de Kubernetes.
Una Interfaz Gráfica de Usuario también puede estar disponible para acceder a las reglas de OPA con Gatekeeper Policy Manager. Es "una simple solo lectura interfaz web para ver el estado de las políticas de OPA Gatekeeper en un clúster de Kubernetes."
Busca el servicio expuesto:
Como se ilustra en la imagen anterior, ciertas reglas pueden no aplicarse de manera universal en todos los espacios de nombres o usuarios. En su lugar, operan en base a una lista blanca. Por ejemplo, la restricción liveness-probe está excluida de aplicarse a los cinco espacios de nombres especificados.
Con una visión general completa de la configuración de Gatekeeper, es posible identificar posibles configuraciones incorrectas que podrían ser explotadas para obtener privilegios. Busca espacios de nombres en la lista blanca o excluidos donde la regla no se aplica, y luego lleva a cabo tu ataque allí.
Abusing Roles/ClusterRoles in KubernetesOtra forma de eludir las restricciones es centrarse en el recurso ValidatingWebhookConfiguration :
Kubernetes ValidatingWebhookConfiguration
