プロファイル適用性: レベル1
名前空間でポッドを作成する能力は、これらのポッドに特権サービスアカウントを割り当てたり、機密データへのアクセスを持つhostPathをマウントしたりするなど、特権昇格の機会を提供する可能性があります
(Podセキュリティポリシーがこのアクセスを制限するために実装されていない限り)。
そのため、新しいポッドを作成するアクセスは、可能な限り最小のユーザグループに制限するべきです。
クラスター内でポッドを作成する機能は、権限昇格の可能性を開くため、可能な限り制限する必要があります。
 |
注意デフォルトでは、次のプリンシパルのリストが
podオブジェクトに対するcreate権限を持っています |
影響
システムコンポーネントが動作に必要とするポッドへのアクセスを削除しないよう注意してください。
監査
KubernetesAPIでポッドオブジェクトへの作成アクセス権を持つユーザを確認してください。
修復
可能であれば、クラスター内の
podオブジェクトへのcreateアクセスを削除してください。 CLUSTERROLEBINDING SUBJECT
TYPE SA-NAMESPACE
cluster-admin system:masters
Group
system:controller:clusterrole-aggregation-controller clusterrole-
aggregation-controller ServiceAccount kube-system
system:controller:daemon-set-controller daemon-set-controller
ServiceAccount kube-system
system:controller:job-controller job-controller
ServiceAccount kube-system
system:controller:persistent-volume-binder persistent-volume-
binder ServiceAccount kube-system
system:controller:replicaset-controller replicaset-controller
ServiceAccount kube-system
system:controller:replication-controller replication-controller
ServiceAccount kube-system
system:controller:statefulset-controller statefulset-controller
ServiceAccount kube-system