반응형
kubernetes 보안 설정 --insecure-port=0
취약점 분석
kubernetes 1.20 version 이하는
--insecure-port 설정이 존재하지만
1.20 이상 version은
kube-apiserver의 --insecure-port 설정이 없음.
해당 --insecure-port 설정이 왜 없어졌는지 알아봄.
--insecure-port설정은 kube-apiserver 에 http 형식으로 접근을 허가하는 설정임.
--insecure-port가 8080 등 다른 port로 설정되어있으면 보안에 치명적임.
kubernetes 1.20 version 이상은 해당 --insecure-port없어서 안전함.
아래와 같이 https 로만 접근이 가능하고 http는 접근이 불가능함.
하지만 1.20 version 이하의 경우 다음과 같이
kube-apiserver 설정에
--insecure-port=8080
설정이 추가되어있었음.
이와 같은 설정이 추가되어있는 경우 아래와 같은 결과가 발생함.
이와 같이 http로 접속이 가능해져서
인가되지 않은 사용자도 접근이 가능해짐
보안적으로 굉장히 치명적임
결론
kubernetes 1.20 version 이하의 경우
--insecure-port 설정이 0으로 되어있는지 확인해야함.
해결책
최신 1.20 versoin 이상은 해당 보안이 적용되어
--insecure-port 설정이 추가되어있지 않음.
하지만 1.20 version 이하는
--insecure-port=0으로 설정되어있는지 확인이 필요함
참고
반응형
'Kubernetes > Kubernetes 보안' 카테고리의 다른 글
| gVisor와 runtimeclass (0) | 2022.06.08 |
|---|---|
| Kubernetes 보안 설정 node-restriction.kubernetes.io (0) | 2022.05.05 |
| Kubernetes 보안 설정 --anonymous-auth=false (1) | 2022.05.05 |
| Kubernetes 보안 설정 automountServiceAccountToken: false (0) | 2022.05.05 |
| kube-bench (0) | 2022.05.01 |