Last updated
Originalni autor ove stranice je Guillaume
Imati pregled može pomoći da se zna koja pravila su aktivna, u kojem režimu i ko može da ih zaobiđe.
ConstraintTemplate i Constraint mogu se koristiti u Open Policy Agent (OPA) Gatekeeper-u kako bi se primenila pravila na Kubernetes resurse.
Grafički korisnički interfejs može biti dostupan za pristup OPA pravilima pomoću Gatekeeper Policy Manager-a. To je "jednostavni samo za čitanje web UI za pregled statusa OPA Gatekeeper pravila u Kubernetes klasteru."
Potražite izloženu rutu:
Kao što je prikazano na slici iznad, određena pravila se ne primenjuju univerzalno na sve namespace-ove ili korisnike. Umesto toga, oni funkcionišu na osnovu bele liste. Na primer, ograničenje liveness-probe je isključeno iz primene na pet navedenih namespace-ova.
Sa sveobuhvatnim pregledom konfiguracije Gatekeeper-a, moguće je identifikovati potencijalne loše konfiguracije koje bi mogle biti iskorišćene za sticanje privilegija. Potražite beležene ili isključene namespace-ove gde pravilo ne važi, a zatim izvršite napad tamo.
Abusing Roles/ClusterRoles in Kubernetes
