Как обезопасить доступ к kubectl?

Question

Как обезопасить .kube/config, чтобы даже если наш компьютер, содержащий этот файл, был скомпрометирован, наш кластер все еще был в безопасности?

например. Это не так просто, как запуск kubectl delete deployment для удаления нашего развертывания (при условии, что мы являемся супер-администратором в RBAC)

Answer 1

Есть несколько способов сделать это, если ваша машина скомпрометирована и вы хотите отключить доступ к кластеру. Обратите внимание, что никакое решение не помешает маленькому окну, где хакер может получить доступ и нанести некоторый урон.

• OIDC аутентификация (OpenID Connect). Смягчение -> Отключить пользователя OIDC в ​​поставщике OIDC и включить время жизни для сеанса в поставщике OIDC.

• Webhook аутентификация. Смягчение -> отключить клиентские сертификаты в службе webhook, и время жизни токена контролируется --authentication-token-webhook-cache-ttl, по умолчанию равным 2 минутам. В этом случае служба webhook управляет токенами в вашем кластере K8s.

• Аутентификация прокси . Смягчение -> отключить пользователей на прокси.

• Плагины для учетных записей клиента Go . Смягчение -> Отключить пользователя в провайдере, с которым подключается плагин. Например, AWS IAM Authenticator использует это, поэтому вы можете удалить или отключить пользователя IAM в AWS.