Kubernetes הפך לתשתית הסטנדרטית לפריסת אפליקציות. אבל ה-Default Configuration שלו בנויה לנוחות פיתוח, לא לאבטחה. ב-2023, Kubernetes היה אחד הפרוטוקולים הכי נפוצים בפרצות ענן. בדרך כלל – לא עקב Bug, אלא עקב קונפיגורציה לקויה.
15 בקרות קריטיות
- RBAC – מנעו Wild-card permissions. Least Privilege לכל Service Account.
- Network Policies – חסמו תעבורה בין Pods בברירת מחדל, פתחו רק מה שנחוץ.
- Pod Security Standards – השתמשו ב-restricted Profile, מנעו Privileged Containers.
- Secrets Management – אל תשמרו Secrets ב-ENV Variables בלבד. השתמשו ב-Vault / Sealed Secrets.
- Image Scanning – סרקו Images ב-CI/CD לפני Push לרגיסטרי (Trivy, Snyk).
- Resource Limits – הגדירו Limits/Requests לכל Container. מנעו Resource Exhaustion.
- Audit Logging – הפעילו Kubernetes Audit Logs, שלחו ל-SIEM.
- API Server Access – הגבילו גישה ל-API Server. אל תחשפו ל-0.0.0.0.
- etcd Encryption – הגדירו Encryption at Rest ל-etcd.
- Node Security – עדכנו Node OS ו-K8s Versions. הגדירו Node Isolation.
- TLS Everywhere – כל תקשורת פנימית מוצפנת. Mutual TLS עם Service Mesh.
- Image Provenance – Trusted Registries בלבד, Signature Verification.
- Namespace Isolation – חלקו Workloads לפי Namespaces + Network Policies.
- Admission Controllers – OPA Gatekeeper / Kyverno לאכיפת Policy.
- Runtime Security – Falco לזיהוי חריגות Runtime בזמן אמת.
כלי Scanning חינמי
Kube-bench (CIS Kubernetes Benchmark) הוא כלי חינמי שסורק את ה-Cluster שלכם ומדווח על חריגות מה-CIS Benchmark. הרצה ראשונה לוקחת 5 דקות ומייצרת דוח מפורט.
התחילו עם RBAC ו-Network Policies – אלו שתי הבקרות שמונעות את הנזק הגדול ביותר. Cluster עם RBAC Least Privilege ו-Network Policies מגביל משמעותית את יכולת תוקף שחדר לבצע תנועה רוחבית.
KubernetesK8sContainer SecurityDevSecOpsCloud