User-Kontext erzwingen für erhöhte Kubernetes-Container-Sicherheit
User-Kontext erzwingen für erhöhte Kubernetes-Container-Sicherheit
Selbst-spezifizierte UID in Kubernetes-Containern erstellen
Es wird empfohlen, eine selbst-spezifizierte UID in die Container-Datei zu integrieren. Diese sollte nicht mit UID der Host-VM in Konflikt geraten. Sollte ein Angreifer beispielsweise einen der Container mithilfe des Nutzer-Accounts mit der UID 1000 übernommen und ausbrechen, sind ihm lediglich die Rechte des Nutzers mit dieser UID vorbehalten.
Im schlimmsten Fall bricht der Angreifer via der Standard-Root UID aus dem Container aus. Dadurch sind ihm die Root-Verzeichnisse zugänglich und somit auch die entsprechenden Rechte der Host-VM. Um diese Möglichkeit auszuhebeln, sollten separate UIDs erstellt werden, welche weniger wahrscheinlich innerhalb der gewohnten Nutzung auftreten. Die gewählte UID darf aber nicht am Ende des genutzten Spektrums liegen. Wir wählen daher die Nutzung im oberen Drittel. Die selbige Anfangssituation und die entsprechenden Risiken ergeben sich in folgenden Kontexten: