Обход политик OPA Gatekeeper

Всем привет!

Использование механизмов Admission Controller/Policy Engine для контроля того, что запускается и уже запущено в кластерах Kubernetes – обязательная практика информационной безопасности.

Однако, даже такие отличные инструменты не лишены изъянов, особенно если настраивать их без должного понимания происходящего.

Именно этому посвящена статья от Aqua Security, в которой приводятся примеры того, как можно «обойти» те самые политики.

В статье рассказывают про:
🍭 Что такое Admission Controller и OPA Gatekeeper в частности
🍭 Анализ простой, но полезной политики (контроль реестров, из которых можно «брать» образы)
🍭 Краткое описание логики работы политики «изнутри»
🍭 Примеры того, как можно «обойти» политику и запустить вредоносный образ

Да, обход достаточно «банальный» и простой, но тем не менее рабочий. Это лишний раз подчеркивает важность того, что понимание того «как это работает» помогает (в том числе) лучше выстраивать защиту.

В завершении статьи Авторы анализируют возможность подобного «обхода» для иных известных Policy Engine – Kyverno, Kubewarden, JSPolicy (там тоже получится 😊)

DevSecOps Talks

Обход политик OPA Gatekeeper

Всем привет!

Использование механизмов Admission Controller/Policy Engine для контроля того, что запускается и уже запущено в кластерах Kubernetes – обязательная практика информационной безопасности.

Однако, даже такие отличные инструменты не лишены изъянов, особенно если настраивать их без должного понимания происходящего.

Именно этому посвящена статья от Aqua Security, в которой приводятся примеры того, как можно «обойти» те самые политики.

В статье рассказывают про:
🍭 Что такое Admission Controller и OPA Gatekeeper в частности
🍭 Анализ простой, но полезной политики (контроль реестров, из которых можно «брать» образы)
🍭 Краткое описание логики работы политики «изнутри»
🍭 Примеры того, как можно «обойти» политику и запустить вредоносный образ

Да, обход достаточно «банальный» и простой, но тем не менее рабочий. Это лишний раз подчеркивает важность того, что понимание того «как это работает» помогает (в том числе) лучше выстраивать защиту.

В завершении статьи Авторы анализируют возможность подобного «обхода» для иных известных Policy Engine – Kyverno, Kubewarden, JSPolicy (там тоже получится 😊)

Aqua

OPA Gatekeeper Bypass Reveals Risks in Kubernetes Policy Engines

Research on Kubernetes policy enforcement risks and how misconfigurations in seemingly secure rules like OPA Gatekeeper enable bypassing.

❤5

hottg.com/devsecops_weekly/1228

2.14K viewsJun 3 at 04:25