Risks

User-Kontext erzwingen für erhöhte Kubernetes-Container-Sicherheit

Selbst-spezifizierte UID in Kubernetes-Containern erstellen

Es wird empfohlen, eine selbst-spezifizierte UID in die Container-Datei zu integrieren. Diese sollte nicht mit UID der Host-VM in Konflikt geraten. Sollte ein Angreifer beispielsweise einen der Container mithilfe des Nutzer-Accounts mit der UID 1000 übernommen und ausbrechen, sind ihm lediglich die Rechte des Nutzers mit dieser UID vorbehalten. 

Im schlimmsten Fall bricht der Angreifer via der Standard-Root UID aus dem Container aus. Dadurch sind ihm die Root-Verzeichnisse zugänglich und somit auch die entsprechenden Rechte der Host-VM. Um diese Möglichkeit auszuhebeln, sollten separate UIDs erstellt werden, welche weniger wahrscheinlich innerhalb der gewohnten Nutzung auftreten. Die gewählte UID darf aber nicht am Ende des genutzten Spektrums liegen. Wir wählen daher die Nutzung im oberen Drittel. Die selbige Anfangssituation und die entsprechenden Risiken ergeben sich in folgenden Kontexten:

Orientieren Sie sich an folgenden Maßnahmen:

Sie haben Fragen?

Wenn Sie Fragen haben, die noch nicht beantwortet sind, können Sie sich gerne an uns wenden.

Wir freuen uns auf den Kontakt mit Ihnen!

Design Escapes

KubeOps GmbH
Hinter Stöck 17
72406 Bisingen
Germany

  • Telefon:

    +49 7433 93724 90

  • Mail:

    Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Impressum
Downloadbereich
Zertifiziert als:

Die KubeOps GmbH ist Inhaberin der Unionsmarke KubeOps mit der Registrierungsnummer 018305184.

©KubeOps GmbH. Alle Rechte vorbehalten. Tochtergesellschaft der