1
Mit Kubernetes' kubectl ich beliebige Befehle auf jedem pod ausführen kann wie kubectl exec pod-id-here -c container-id -- malicious_command --steal=creditcardsKubernetes für PCI-Konformität auf Google Cloud Platform-Befehlsprotokollierung
Sollte das jemals passieren würde ich müssen in der Lage sein, ein Protokoll zu ziehen, zu sagen, wer den Befehl ausgeführt und welchen Befehl sie ausgeführt haben. Dies schließt ein, wenn sie beschlossen, etwas anderes zu starten, indem sie einfach /bin/bash ausführen und dann Daten durch das tty stehlen.
Wie würde ich sehen, welche authentifizierten Benutzer ausgeführt, um den Befehl als auch den Befehl sie ausgeführt?
Ich sah dies in meiner Forschung, aber sie haben kaum den ursprünglichen Plan vor 9 Tagen zusammen. Ich kenne mehrere Unternehmen, einschließlich WePay, die PCI-konform sein müssen und Kubernetes verwenden. Wären Unternehmen, die vollständige Einhaltung der Vorschriften benötigen, nicht in der Lage, Kubernetes zu verwenden? – nathanjosiah
Wenn Sie Ihre Anwendung in einem Container mit nur der Binärdatei (z. B. von Grund auf neu und nicht von einem voll funktionsfähigen Betriebssystem wie debian oder alpine Linux) ausgeführt, dann das einzige, was Sie im Container kubectl exec wäre, was war läuft bereits. Ich nehme an, Sie könnten es mit verschiedenen Befehlen ausführen, aber Sie könnten auch eine Binärdatei erstellen, die keine Flags akzeptiert, so dass dies auch nicht möglich war. Ich denke, ich versuche zu sagen, dass Audit-Logging * eine Möglichkeit ist, die Compliance-Anforderungen zu erfüllen, aber es ist wahrscheinlich nicht die einzige Möglichkeit, dies zu tun. –