Publicado por
Kubernetes RBAC es un método de autorización eficaz basado en roles que se utiliza para proporcionar acceso granular a los recursos en un clúster de Kubernetes.
Sin embargo, si se usa incorrectamente, puede causar fácilmente un desastre de cumplimiento. Es por eso que necesitamos herramientas RBAC para auditar y ubicar permisos riesgosos en Kubernetes.
En este artículo, vamos a discutir qué es Kubernetes RBAC, por qué es importante auditar los permisos de riesgo y descubrir las herramientas que mejor pueden ayudarnos a auditar los permisos de riesgo.
¿Qué es RBAC?
El control de acceso basado en roles (RBAC) es un mecanismo de seguridad en el que cada autorización de acceso se basa en los roles asignados a un usuario. Con este sistema, por lo tanto, es posible restringir el acceso a los recursos de un clúster de Kubernetes (espacios de nombres, pods, trabajos) a aplicaciones o usuarios.
En Kubernetes, las políticas de RBAC se pueden usar para administrar los derechos de acceso de un usuario del sistema (Usuario o Grupo), así como los de las cuentas de servicio (Cuenta de servicio).
Hay otras formas de autorizar a los usuarios en Kubernetes, como ABAC (control de acceso basado en atributos), a través de Webhook o Autorización de nodo, pero el mecanismo de autorización nativo más utilizado disponible en la versión estable es RBAC.
Prácticamente todas las interacciones con los recursos se realizan a través de su servidor API, lo que significa que al final, todo se limita a realizar solicitudes HTTP a dicho servidor (componente esencial del nodo maestro o Panel de control).
Kubernetes tiene cuatro objetos relacionados con RBAC que se pueden combinar para establecer permisos de acceso a los recursos del clúster. Estos son Role, ClusterRole, RoleBinding y ClusterRoleBinding. Para trabajar con estos objetos, como todos los objetos de Kubernetes, se debe utilizar la API de Kubernetes.
Funciones en Kubernetes
En Kubernetes, hay dos tipos de roles llamados Rol y ClusterRole. La mayor diferencia entre los dos es que el rol pertenece a un espacio de nombres concreto, mientras que ClusterRole es global para el clúster. Así, en el caso de ClusterRole, su nombre debe ser único ya que pertenece al clúster. En el caso de un rol, dos espacios de nombres diferentes pueden tener un rol con el mismo nombre.
Otra diferencia que se debe mencionar es que el rol permite el acceso a los recursos que están en el mismo espacio de nombres, mientras que ClusterRole, además de poder dar acceso a los recursos en cualquier espacio de nombres, también puede proporcionar acceso a los recursos en el mismo espacio de nombres, como nodos entre otros.
Ahora que conocemos los tipos de roles, lo siguiente es saber a quién podemos asignar estos roles. En este caso, tenemos cuentas de usuario, cuentas de servicio y grupos. Las cuentas de usuario son cuentas asignadas a un usuario en particular, mientras que las cuentas de servicio son utilizadas por procesos. Por ejemplo, digamos que nuestra aplicación necesita acceso programático a los recursos del clúster, para esto usaríamos una cuenta de servicio.
Finalmente, necesitamos el «pegamento» que une un rol a una cuenta (usuario o servicio) o grupo. Hay dos recursos en Kubernetes para esto: RoleBinding y ClusterRoleBinding. RoleBinding puede hacer referencia a cualquier rol que esté en el mismo espacio de nombres, mientras que ClusterRoleBinding puede hacer referencia a cualquier rol en cualquier espacio de nombres y asignar permisos globalmente.
Tenga en cuenta que los permisos solo permiten el acceso a los recursos, porque «por defecto, todo está denegado» y es posible asignar varios roles al mismo usuario
El único requisito para usar RBAC es que esté habilitado en nuestro clúster usando el «–authorization-mode=RBAC» opción. Podemos verificar esto usando el comando:
kubectl api-versions¿Qué son los permisos RBAC riesgosos y cómo los soluciono?
Cualquier permiso que permita o pueda permitir el acceso no autorizado a los recursos del Pod se considera un permiso riesgoso. Por ejemplo, si un usuario tiene permiso de edición, puede editar su propio rol y acceder a los recursos a los que de otro modo no tendría acceso. Esto puede causar un problema de cumplimiento. Además, si los permisos antiguos no están marcados, algunos usuarios pueden acceder a los recursos que ya no necesitan.
Es difícil y tedioso encontrar manualmente un permiso tan arriesgado cuando tienes una gran cantidad de roles. Para realizar este proceso, hay una serie de herramientas de auditoría de permisos RBAC que ayudan a escanear todo el clúster para localizar permisos riesgosos. También es importante comprender que la efectividad de RBAC depende de una política de RBAC actualizada que, a su vez, requiere una auditoría periódica de los permisos.
Estas son algunas de las mejores herramientas de RBAC para auditar permisos en función de diferentes idiomas e interfaces de usuario.
KubiScanNombre
KubiScanNombre es una herramienta RBAC basada en Python para analizar permisos riesgosos en un clúster de Kubernetes. La herramienta debe ejecutarse en el nodo maestro y luego puede ejecutarse directamente desde la terminal para brindar una lista de permisos en riesgo. Kubiscan se puede utilizar para buscar Roles de riesgo, ClusterRoles, RoleBindings, ClusterBindings, Temas, Pods e incluso Contenedores.
Krane
Krane by Appvia es una herramienta de visualización y análisis estático de Kubernetes RBAC basada en Ruby. Se puede ejecutar localmente como una CLI o en una canalización de CI/CD. Además, también puede ejecutarse como un servicio independiente en un contenedor de Kubernetes. Krane brinda la capacidad de analizar los permisos de RBAC a través de vistas de árbol de red y gráficos facetados. También da alertas de cualquier permiso de riesgo a través de su integración Slack.
herramienta RBAC de InsightCloudSec es una herramienta de auditoría de permisos independiente creada con Go. No solo le permite analizar y resaltar los permisos RBAC riesgosos, sino que también le permite generar una política RBAC a partir de la auditoría de permisos a través de su función Auditgen. La herramienta RBAC también ofrece la funcionalidad de visualización de RBAC.
vientos fuertes
Perspicacia Fairwinds es una herramienta independiente que proporciona una serie de características de cumplimiento y seguridad de Kubernetes. Su función de aplicación de políticas le permite auditar los permisos de RBAC y analizarlos frente a políticas estándar y personalizadas. Fairwinds ofrece una demostración bajo demanda.
administrador de autorizaciones
administrador de autorizaciones by Sighup es una herramienta de administración de permisos de Kubernetes basada en Javascript. Ofrece una forma sencilla e innovadora de administrar los permisos de usuario dentro de un clúster de Kubernetes. Permission Manager también ofrece una edición empresarial de la herramienta que le permite realizar auditorías básicas de permisos RBAC.
Conclusión 👩💻
Kubernetes RBAC es una forma eficiente de administrar el acceso a los recursos en un clúster de Kubernetes. Sin embargo, si no se implementa correctamente, puede generar problemas de seguridad y cumplimiento. Sin embargo, esto se puede evitar auditando continuamente los permisos a través de las herramientas de auditoría RBAC.
También te pueden interesar las mejores prácticas de Kubernetes.
Si quiere puede hacernos una donación por el trabajo que hacemos, lo apreciaremos mucho.
Direcciones de Billetera:
- BTC: 14xsuQRtT3Abek4zgDWZxJXs9VRdwxyPUS
- USDT: TQmV9FyrcpeaZMro3M1yeEHnNjv7xKZDNe
- BNB: 0x2fdb9034507b6d505d351a6f59d877040d0edb0f
- DOGE: D5SZesmFQGYVkE5trYYLF8hNPBgXgYcmrx
También puede seguirnos en nuestras Redes sociales para mantenerse al tanto de los últimos post de la web:
- Telegram
Disclaimer: En Cryptoshitcompra.com no nos hacemos responsables de ninguna inversión de ningún visitante, nosotros simplemente damos información sobre Tokens, juegos NFT y criptomonedas, no recomendamos inversiones