Kubernetes Kyverno bypass

このページの元の著者は

ポリシーの誤設定を悪用する

ルールの列挙

概要を把握することで、どのルールがアクティブで、どのモードで、誰がそれをバイパスできるかを知るのに役立ちます。

除外の列挙

各ClusterPolicyおよびPolicyに対して、除外されたエンティティのリストを指定できます。これには以下が含まれます：

グループ: excludedGroups
ユーザー: excludedUsers
サービスアカウント (SA): excludedServiceAccounts
ロール: excludedRoles
クラスターロール: excludedClusterRoles

これらの除外されたエンティティはポリシー要件から免除され、Kyvernoはそれらに対してポリシーを強制しません。

例

1つのclusterpolicyの例を掘り下げてみましょう :

除外されたエンティティを探します :

クラスター内では、多くの追加コンポーネント、オペレーター、およびアプリケーションがクラスターポリシーから除外される必要がある場合があります。しかし、これは特権エンティティをターゲットにすることで悪用される可能性があります。場合によっては、名前空間が存在しないように見えたり、ユーザーをなりすます権限がないように見えたりすることがあり、これは設定ミスの兆候である可能性があります。

ValidatingWebhookConfigurationの悪用

ポリシーをバイパスする別の方法は、ValidatingWebhookConfigurationリソースに焦点を当てることです :

PreviousKubernetes Kyverno NextKubernetes ValidatingWebhookConfiguration

Last updated 16 days ago