Kubernetes Kyverno bypass
このページの元の著者は Guillaume
ポリシーの誤設定を悪用する
ルールの列挙
概要を把握することで、どのルールがアクティブで、どのモードで、誰がそれをバイパスできるかを知るのに役立ちます。
除外の列挙
各ClusterPolicyおよびPolicyに対して、除外されたエンティティのリストを指定できます。これには以下が含まれます:
グループ:
excludedGroups
ユーザー:
excludedUsers
サービスアカウント (SA):
excludedServiceAccounts
ロール:
excludedRoles
クラスターロール:
excludedClusterRoles
これらの除外されたエンティティはポリシー要件から免除され、Kyvernoはそれらに対してポリシーを強制しません。
例
1つのclusterpolicyの例を掘り下げてみましょう :
除外されたエンティティを探します :
クラスター内では、多くの追加コンポーネント、オペレーター、およびアプリケーションがクラスター ポリシーから除外される必要がある場合があります。しかし、これは特権エンティティをターゲットにすることで悪用される可能性があります。場合によっては、名前空間が存在しないように見えたり、ユーザーをなりすます権限がないように見えたりすることがあり、これは設定ミスの兆候である可能性があります。
ValidatingWebhookConfigurationの悪用
ポリシーをバイパスする別の方法は、ValidatingWebhookConfigurationリソースに焦点を当てることです :
Last updated