⏱️
Temps de lecture estimé
~1 minute
~1 minute
Services — Exposition Réseau Sécurisée
Description & Rôle
Un Service abstrait l’exposition réseau des pods en fournissant une adresse IP stable et un DNS. Les types courants sont :
- ClusterIP : exposition interne uniquement
- NodePort : exposition externe via port node
- LoadBalancer : distribution de charge externe
- ExternalName : redirection vers un service externe
CVEs Connus
ℹ️
CVE-2023-3676 — Exposition involontaire de services via LoadBalancer controller en cas de misconfiguration. Affecte Kubernetes < 1.27.3. Lien CVE
Analyse STRIDE
| Risque | Description |
|---|---|
| S — Spoofing | Accès à un Service en usurpant son identité via DNS spoofing |
| T — Tampering | Interception du trafic Service via MITM |
| R — Repudiation | Pas de logs du trafic transitant par le Service |
| I — Information Disclosure | Exposition involontaire de ports/services |
| D — Denial of Service | Service mal équilibré ou surchargé |
| E — Elevation of Privilege | Accès à des Services restreints |
Best-Practices Minimales
- Type approprié : utiliser
ClusterIPpar défaut, restreindreNodePortetLoadBalancer - Sélecteurs précis : labeling rigoureux pour le mappage pod-service
- Network policies : restreindre le trafic entrant/sortant
- TLS/mTLS : chiffrer le trafic (Istio, Linkerd, cert-manager)
- Ingress controller : utiliser un Ingress plutôt que NodePort si possible
- No external traffic :
externalTrafficPolicy: Localpour ne pas exposer d’autres nodes - Service mesh : Istio/Linkerd pour la visibilité et le contrôle du trafic
- Monitoring : alertes sur les erreurs de connexion Service