Last updated
L'autore originale di questa pagina è Guillaume
Avere una panoramica può aiutare a sapere quali regole sono attive, in quale modalità e chi può bypassarle.
ConstraintTemplate e Constraint possono essere utilizzati in Open Policy Agent (OPA) Gatekeeper per imporre regole sulle risorse Kubernetes.
Un'interfaccia grafica utente potrebbe essere disponibile per accedere alle regole OPA con Gatekeeper Policy Manager. È "una semplice interfaccia web sola lettura per visualizzare lo stato delle politiche OPA Gatekeeper in un cluster Kubernetes."
Cerca il servizio esposto:
Come illustrato nell'immagine sopra, alcune regole potrebbero non essere applicate universalmente a tutti i namespace o utenti. Invece, operano su base whitelist. Ad esempio, il vincolo liveness-probe è escluso dall'applicazione ai cinque namespace specificati.
Con una panoramica completa della configurazione di Gatekeeper, è possibile identificare potenziali misconfigurazioni che potrebbero essere sfruttate per ottenere privilegi. Cerca namespace in whitelist o esclusi dove la regola non si applica, e poi esegui il tuo attacco lì.
Abusing Roles/ClusterRoles in KubernetesUn altro modo per bypassare i vincoli è concentrarsi sulla risorsa ValidatingWebhookConfiguration :
Kubernetes ValidatingWebhookConfiguration
