Beveiliging Kubernetes rammelt

Twee van de gevaarlijkste softwarefouten ( CVE-2019-11247 en CVE-2019-11249) zijn inmiddels verholpen in de laatste Kubernetes-releases 1.13.9 en 1.14.5 en 1.15.2. Ze konden worden misbruikt om bronnen buiten een namespace in dezelfde cluster te benaderen en bestanden op client computers aan te maken of te vervangen.

De Cloud Native Computing Foundation (CNCF) heeft voor de beveiligingsanalyse gekozen voor een opensource-audit. Dat betekent een onafhankelijk beveiligingsauditbedrijf is gevraagd het opensourceproject door te lichten waarbij de resultaten direct openbaar werden gemaakt. De CNCF heeft de aanpak afgekeken van het Core Infrastructure Initiative (CII) Best Practices Badge programma van de Linux Foundation. Projecten die de badge krijgen zijn gecontroleerd op het doorlopen van alle bekende best practices op het gebied van beveiligingscontrole. CNCF heeft dezelfde aanpak al toegepast bij de opensourceprojecten CoreDNS, Envoy, and Prometheus.

Behoorlijk wat mis

In het geval van Kubernetes heeft de Third Party Security Audit Working Group van CNCF samengewerkt met de auditers Trail of Bits en Atredis Partners. Uit het verslag blijkt dat gebruikers van Kubernetes er goed aan doen de adviezen nauwkeurig op te volgen aangezien er nog behoorlijk wat mis is met de beveiliging van het orkestratieplatform. Het assesmentteam constateerde dat de configuratie en het gebruik van Kubernetes geen triviale zaak is aangezien sommige componenten verwarrende default-instellingen hebben nen een gebrek aan beheerfunctionaliteiten en impliciet ontworpen beveiligingsmiddelen.