Kubernetes — RBAC (Role-Based Access Control)

February 6, 2026

Catégories

• Kubernetes
• Sécurité

Tags

• Authentification
• Kubernetes
• RBAC
• STRIDE

🔍 Licence d'Utilisation 🔍

Sauf mention contraire, le contenu de ce blog est sous licence CC BY-NC-ND 4.0.

© 2025 à 2042 Sébastien Gioria. Tous droits réservés.

⏱️

Temps de lecture estimé
~1 minute

RBAC — Contrôle d’Accès Basé sur les Rôles

Description & Rôle

RBAC contrôle qui peut faire quoi dans le cluster Kubernetes via des Roles, ClusterRoles, RoleBindings, et ClusterRoleBindings. C’est le cœur du modèle de sécurité Kubernetes.

CVEs Connus

ℹ️

CVE-2024-21658 — Contournement du RBAC via des requêtes API malveillantes (déjà mentionné dans API Server). Lien CVE

ℹ️

CVE-2024-27955 — Escalade de privilèges via permissions overly permissive sur les ClusterRoles. Affecte les configurations RBAC faibles.

Analyse STRIDE

Risque	Description
S — Spoofing	Usurpation de ServiceAccount pour bénéficier de ses permissions
T — Tampering	Modification des ClusterRoles pour ajouter des permissions
R — Repudiation	Pas d’audit des changements RBAC
I — Information Disclosure	Énumération des permissions via API
D — Denial of Service	Restriction RBAC bloquant les operations légales
E — Elevation of Privilege	Bindings trop larges (cluster-admin, wildcard permissions)

Best-Practices Minimales

• Principle of Least Privilege : permission minimale nécessaire
• Pas de wildcard : éviter * dans les verbes ou ressources
• ServiceAccounts dédiés : pas de default ServiceAccount
• Audit RBAC : kubectl get clusterrole,clusterrolebinding -A
• Éviter cluster-admin : utiliser des ClusterRoles spécifiques
• Quarantine RBAC : restrictions strictes dans les namespaces sensibles
• Automation : tools comme kubectl-who-can pour analyser les permissions
• Regular review : audit trimestriel des bindings RBAC
• PSP/Pod Security Standards : combiné avec RBAC pour l’isolation

Partager Tweet LinkedIn Reddit Substack

Articles lies

MITRE ATT&CK appliqué aux applications Web cloud native

Mapper les attaques cloud native avec MITRE ATT&CK Cloud : Kubernetes, IAM, containers, APIs, CI/CD et détections adaptées.

19/06/2026

Le Résumé de la semaine 2026-W24

Résumé de la semaine 2026-W24: K08: RBAC mal configuré; K09: Journalisation et monitoring inadéquats; K10: Compromission de la supply chain

15/06/2026

K10 : Compromission de la supply chain

Réduire le risque OWASP K10 Kubernetes avec Sigstore, SLSA, SBOM CycloneDX, Kyverno et des contrôles d'admission supply chain.

12/06/2026

K09 : Journalisation et monitoring inadéquats

Sans audit logging activé, un attaquant peut pivoter à travers le cluster sans laisser la moindre trace exploitable.

10/06/2026

Le Résumé de la semaine 2026-W23

Résumé de la semaine 2026-W23: K05: Configuration obsolète et vulnérable; RAMPART & Clarity: quand les outils rejoignent le threat modeling agentiqu

08/06/2026