⏱️
Temps de lecture estimé
~1 minute
~1 minute
ETCD — Base de Données du Cluster
Description & Rôle
ETCD est la base de données clé-valeur distribuée qui stocke l’état complet du cluster Kubernetes. Tous les objets, configurations, et secrets sont persistés dans etcd. C’est le système nerveux central, perte d’etcd = perte complète du cluster.
CVEs Connus
ℹ️
CVE-2024-50868 — Vulnérabilité dans la gestion des snapshots etcd permettant la divulgation d’informations sensibles. Affecte etcd < 3.5.12. Lien CVE
ℹ️
CVE-2024-24789 — Fuite de mémoire dans le client etcd lors de la gestion des connexions. Affecte les versions < 3.5.11. Lien CVE
Analyse STRIDE
| Risque | Description |
|---|---|
| S — Spoofing | Accès non authentifié à etcd via certificats exposés |
| T — Tampering | Modification directe de la base de données contournant l’API Server |
| R — Repudiation | Pas de logs détaillés des accès à etcd |
| I — Information Disclosure | Accès aux secrets/données sensibles stockées en clair |
| D — Denial of Service | Suppression de données, ou défaillance de quorum |
| E — Elevation of Privilege | Modification du RBAC ou des secrets administrateur directement dans etcd |
Best-Practices Minimales
- Chiffrer les données au repos :
--encryption-provider-configpour Kubernetes/etcd - TLS mutuel obligatoire : certificats client/serveur robustes
- Isolation réseau stricte : etcd accessible uniquement depuis l’API Server
- Sauvegardes chiffrées régulières : snaphots etcd avec chiffrement
- Quotas et limites :
--quota-backend-bytespour éviter les débordements - Audit complet : logger toutes les modifications etcd
- Clustering sécurisé : quorum de 3+ membres avec certificats
- Accès limité : ServiceAccount etcd avec privilèges minimaux
- Monitoring strict : alertes sur latence/erreurs de quorum
-