Использование sa вместо OIDC. Угон sa токена и невозможность сегрегировать подключение к кубернетес апи по sa и по OIDC
Ок, пойдем дальше. Какие возможности к угону sa? Если мы ими не пользуемся для внешней аутентификации?
Предположим, у тебя сервис опубликован через ингресс в интернет. В нем уязвимость. Злоумышленник получил шелл внутри контейнера и угнал sa token
Да, ок. Это если в Pod забыли отключить sa или он там нужен и создан намерено. Но, sa будет иметь очень ограниченный набор прав.
зашел под oidc, подсмотрел secret token текущих sa в namespace. Дальше ходишь под этими sa
Обсуждают сегодня