Kubernetes v1.35: Einschränkung von ausführbaren Dateien in kubeconfigs durch exec-Plugin allowList hinzugefügt zu kuberc

TL;DR

Kubernetes v1.35 führt eine neue Funktion zur Einschränkung ausführbarer Dateien in kubeconfigs ein, um die Sicherheit zu erhöhen. Mit der Einführung einer allowlist für Credential-Plugins können Administratoren steuern, welche Plugins in ihrer Umgebung ausgeführt werden dürfen, was potenzielle Sicherheitsrisiken durch nicht vertrauenswürdige Codeausführungen minimiert.

Hauptinhalt

In Kubernetes v1.35 wurde eine bedeutende Sicherheitsfunktion implementiert, die es ermöglicht, die Ausführung von ausführbaren Dateien, die über kubeconfigs aufgerufen werden, zu steuern. Diese Funktion ist besonders relevant, da kubeconfigs die Möglichkeit bieten, beliebige ausführbare Dateien, einschließlich Shell-Skripte, mit den Rechten des aufrufenden Benutzers auszuführen. Dies kann ein Sicherheitsrisiko darstellen, insbesondere wenn die Pipeline zur Generierung des kubeconfigs kompromittiert ist oder ein Supply-Chain-Angriff erfolgt.

Um den Benutzern mehr Kontrolle zu geben, wurde das Credential-Plugin-Policy-System als Beta-Funktion hinzugefügt. Diese Funktion ermöglicht es, die Policy und die allowlist für Credential-Plugins ohne Änderung des Anwendungscodes zu konfigurieren. Administratoren können die neuen Felder credentialPluginPolicy und credentialPluginAllowlist in der kuberc-Konfigurationsdatei hinzufügen, um festzulegen, welche Plugins kubectl ausführen darf.

Die Implementierung dieser Sicherheitsmechanismen ist einfach. Standardmäßig bleibt kubectl unverändert, wenn die neuen Felder nicht spezifiziert werden. Die Policy kann auf verschiedene Weisen konfiguriert werden: AllowAll, DenyAll oder Allowlist. Mit DenyAll können Administratoren schnell herausfinden, welche Plugins versucht werden, ausgeführt zu werden, indem sie Fehlerprotokolle überprüfen. Um spezifische Plugins zuzulassen, kann die Allowlist-Option verwendet werden, bei der sowohl vollständige Pfade als auch Basenamen angegeben werden können.

Technische Details/Implikationen

Die neue Funktionalität zur Einschränkung von Credential-Plugins ist in der Kubernetes-Dokumentation ausführlich beschrieben. Die aktuelle Implementierung erlaubt es, nur den Namen eines Plugins anzugeben, wobei zukünftige Erweiterungen geplant sind. Dazu könnte die Überprüfung von Prüfziffern oder die Erlaubnis nur für signierte Binärdateien gehören, was die Sicherheit weiter erhöhen würde. Administratoren sollten auch die Protokollierungsstufe bei der Fehlersuche erhöhen, um detailliertere Informationen zu erhalten.

Fazit/Ausblick

Die Einführung der Credential-Plugin-Policy in Kubernetes v1.35 stellt einen wichtigen Schritt zur Verbesserung der Sicherheit dar, indem sie Administratoren ermöglicht, die Kontrolle über die auszuführenden Plugins zu übernehmen. Zukünftige Erweiterungen könnten die Sicherheitsmechanismen weiter verstärken und die Integrität des Kubernetes-Ökosystems schützen.