Kubernetes OPA Gatekeeper bypass
Last updated
Last updated
μ΄ νμ΄μ§μ μμ μλ Guillaumeμ λλ€.
κ°μλ₯Ό νμ νλ©΄ μ΄λ€ κ·μΉμ΄ νμ±νλμ΄ μλμ§, μ΄λ€ λͺ¨λμΈμ§, λκ° μ΄λ₯Ό μ°νν μ μλμ§ μ μ μμ΅λλ€.
ConstraintTemplate λ° Constraintλ Open Policy Agent (OPA) Gatekeeperμμ Kubernetes 리μμ€μ λν κ·μΉμ μννλ λ° μ¬μ©ν μ μμ΅λλ€.
Graphic User Interfaceλ Gatekeeper Policy Managerλ₯Ό ν΅ν΄ OPA κ·μΉμ μ κ·Όν μ μμ΅λλ€. μ΄λ "Kubernetes ν΄λ¬μ€ν°μμ OPA Gatekeeper μ μ± μ μνλ₯Ό 보기 μν κ°λ¨ν μ½κΈ° μ μ© μΉ UI"μ λλ€.
λ ΈμΆλ μλΉμ€λ₯Ό κ²μν©λλ€:
μ μ΄λ―Έμ§μμ μ€λͺ
ν λ°μ κ°μ΄, νΉμ κ·μΉμ λͺ¨λ λ€μμ€νμ΄μ€λ μ¬μ©μμ λν΄ λ³΄νΈμ μΌλ‘ μ μ©λμ§ μμ μ μμ΅λλ€. λμ , νμ΄νΈλ¦¬μ€νΈ κΈ°λ°μΌλ‘ μλν©λλ€. μλ₯Ό λ€μ΄, liveness-probe
μ μ½ μ‘°κ±΄μ λ€μ― κ°μ μ§μ λ λ€μμ€νμ΄μ€μ μ μ©λμ§ μμ΅λλ€.
Gatekeeper ꡬμ±μ λν ν¬κ΄μ μΈ κ°μλ₯Ό ν΅ν΄ κΆνμ μ»κΈ° μν΄ μ μ©ν μ μλ μ μ¬μ μΈ μλͺ»λ ꡬμ±μ μλ³ν μ μμ΅λλ€. κ·μΉμ΄ μ μ©λμ§ μλ νμ΄νΈλ¦¬μ€νΈ λλ μ μΈλ λ€μμ€νμ΄μ€λ₯Ό μ°Ύμ κ·Έκ³³μμ 곡격μ μννμμμ€.
Abusing Roles/ClusterRoles in Kubernetesμ μ½ μ‘°κ±΄μ μ°ννλ λ λ€λ₯Έ λ°©λ²μ ValidatingWebhookConfiguration 리μμ€μ μ§μ€νλ κ²μ λλ€ :
Kubernetes ValidatingWebhookConfiguration