¿Usas GKE (Kubernetes en Google)? Tus clusters pueden estar abiertos a cualquier usuario de Google 🚨

Nicolás Georger

26 de ene. de 2024 — 1 min read

Imagen: https://cast.ai/blog/gke-security-top-10-strategies-for-securing-your-cluster/

Ojo con el grupo system:authenticated en GKE, que incluye a todas las cuentas de Google, incluidas las tuyas. Esto abre tu cluster a básicamente cualquier usuario autenticado en cualquier servicio Google.

Recomendaciones

Para evitarlo, ten cuidado con los permisos que le das a ese grupo. En particular, no le des permiso para crear o administrar recursos críticos.

También puedes usar herramientas de supervisión y auditoría para detectar cualquier cambio no deseado en permisos, accesos, credenciales, etc.

Recomendaciones específicas

Si utilizas RBAC, chequea permisos que tiene el grupo.
Asegúrate de que solo los usuarios que lo necesitan tengan acceso a los recursos que necesitan.
Implementa un proceso de supervisión y auditoría para detectar vulnerabilidades y configuraciones erróneas, que sean compatibles con tu flujo de trabajo y tus equipos.

Esta característica de GKE es intencionada y no es una vulnerabilidad, por eso, es importante que los usuarios de GKE administren meticulosamente sus permisos RBAC para evitar problemas.

Fuente

Keep reading on SREDevOps.org:

Imagen: https://muppet.fandom.com/wiki/IBM

IBM continúa devorando: Hashicorp (Terraform) será su próxima adquisición

IBM lo confirma: Comprará HashiCorp En el mundo de la nube híbrida, se sabía que HashiCorp, creadores de la popular herramienta de infraestructura como código (IaC) Terraform, estaba buscando ser adquirida. También sabíamos que el cambio de la licencia Mozilla de código abierto de Terraform por la Business Source License

Un exploit en GitHub permitía inyectar archivos en -casi- cualquier repositorio y distribuir malware "legítimo"

Una vulnerabilidad de seguridad en GitHub permitía a atacantes inyectar malware en repositorios legítimos. El atacante podría subir un archivo malicioso como comentario en un issue o pull request. Incluso si el comentario se eliminaba, el archivo malicioso seguía siendo accesible a través de una URL pública. Esto se debe

O WebAssembly está pronto para a produção? WASI Preview 2 torna isso possível

Resumo: O WebAssembly, ou Wasm, há muito tempo promete revolucionar o desenvolvimento de aplicativos. O sonho era simples, mas poderoso (e familiar): escrever seu código uma vez e fazê-lo funcionar em qualquer lugar. O Wasm também prometia executar o código em velocidades quase nativas. Melhor ainda, ao contrário das tentativas

WebAssembly listo para producción? WASI Preview 2 lo hace realidad

Resumen: WebAssembly, o Wasm para abreviar, ha prometido desde hace mucho tiempo revolucionar el desarrollo de aplicaciones. El sueño era simple pero poderoso (y familiar): escribe tu código una vez y hazlo funcionar en cualquier lugar. Wasm también prometió ejecutar código a velocidades cercanas a las nativas. Incluso mejor, a