如何保护.kube/config,以便即使包含该文件的计算机受到威胁,我们的集群仍然安全?
例如,删除我们的部署并不像运行kubectl delete deployment那样简单(假设我们是RBAC中的超级管理员(
有多种方法可以做到这一点,以防您的机器受到威胁,并且您想要禁用对集群的访问。请注意,没有任何解决方案可以阻止黑客访问并造成一些损害的小窗口。
-
OIDC身份验证(OpenID Connect(。缓解->在OIDC提供程序上禁用OIDC用户,并在OIDC提供方中启用会话的生存期。
-
Webhook身份验证。缓解->禁用webhook服务上的客户端证书,令牌生存期由
--authentication-token-webhook-cache-ttl控制,默认为2分钟。在这种情况下,webhook服务管理K8s集群上的令牌。 -
身份验证代理。缓解->禁用代理上的用户。
-
客户端Go凭据插件。缓解->在插件进行身份验证的提供程序中禁用用户。例如,AWS IAM验证器使用此功能,因此您可以删除或禁用AWS上的IAM用户。