Last updated
The original author of this page is Guillaume
Posiadanie przeglądu może pomóc w zrozumieniu, które reguły są aktywne, w jakim trybie i kto może je obejść.
ConstraintTemplate i Constraint mogą być używane w Open Policy Agent (OPA) Gatekeeper do egzekwowania zasad na zasobach Kubernetes.
Interfejs graficzny może być również dostępny do uzyskania dostępu do reguł OPA za pomocą Gatekeeper Policy Manager. Jest to "prosty tylko do odczytu interfejs webowy do przeglądania statusu polityk OPA Gatekeeper w klastrze Kubernetes."
Szukaj wystawionej usługi:
Jak pokazano na powyższym obrazku, niektóre zasady mogą nie być stosowane uniwersalnie we wszystkich przestrzeniach nazw lub użytkownikach. Zamiast tego działają na zasadzie białej listy. Na przykład, ograniczenie liveness-probe jest wyłączone z zastosowania do pięciu określonych przestrzeni nazw.
Mając pełny przegląd konfiguracji Gatekeepera, można zidentyfikować potencjalne błędy konfiguracyjne, które mogą być wykorzystane do uzyskania uprawnień. Szukaj wykluczonych lub dozwolonych przestrzeni nazw, gdzie zasada nie ma zastosowania, a następnie przeprowadź atak tam.
Innym sposobem na ominięcie ograniczeń jest skupienie się na zasobie ValidatingWebhookConfiguration :
