如何保护.kube/config,以便即使包含该文件的计算机受到威胁,我们的群集仍是安全的?
例如它不像运行kubectl delete deployment来删除我们的部署那样简单(假设我们是RBAC中的超级管理员)
答案 0 :(得分:1)
有多种方法可以执行此操作,以防您的计算机受到感染并希望禁用对群集的访问。请注意,没有任何解决方案可以阻止黑客能够获得访问权限并造成一定损害的小窗口。
OIDC身份验证(OpenID Connect)。缓解措施->在OIDC提供程序上禁用OIDC用户,并在OIDC提供程序中启用会话的生存期。
Webhook身份验证。缓解措施->在Webhook服务上禁用客户端证书,令牌生存期由--authentication-token-webhook-cache-ttl控制,默认为2分钟。在这种情况下,webhook服务将管理您的K8s集群上的令牌。
Authenticating Proxy。缓解措施->禁用代理服务器上的用户。
Client Go credential plugins。缓解->在插件进行身份验证的提供程序中禁用用户。例如,AWS IAM Authenticator使用此功能,因此您将在AWS上删除或禁用IAM用户。