一个部署了受损log4j版本的命名空间是否会“感染”整个Kubernetes集群?

fsi0uk1n  于 2022-11-06  发布在  Kubernetes
关注(0)|答案(1)|浏览(135)

我在处理一个相当简单的问题。
假设我们有一个Kubernetes集群和多个名称空间(比如default、monitoring、A、B、C)。这些名称空间通过NetworkPolicies在逻辑上彼此分离。这意味着,A无法看到default、monitoring、B、C中发生的情况。B和C也可以类似地说。
但是,监视和默认可以看到所有命名空间中正在发生的事情。
现在,有人在名称空间A、B和C中的一个(比如说A)部署了一些“流氓资源”。这里我指的是使用log4j的一个受损版本进行的部署。当然,这对名称空间A中的所有内容都是不利的。
我现在的问题是:这是否也会对默认、监控、B、C中的资源产生负面影响,或者它们完全没有受到损害?

knsnq2tg

knsnq2tg1#

命名空间是一种将集群组织成虚拟子集群的方法,当不同的团队或项目共享Kubernetes集群时,命名空间会非常有用。集群中支持任意数量的命名空间,每个命名空间在逻辑上与其他命名空间分离**,但能够相互通信**。
因此,如果任何名称空间受到危害或有受感染的组件被利用来允许例如RCE或反向外壳,则受危害的名称空间现在就像远程攻击者的网关,可以轻松地用作攻击同一名称空间中的其他资源以及其他名称空间中的其他资源的发射台。因此,是的,它会对其他名称空间产生负面影响并增加风险。

相关问题