Kubernetes — Services & Exposition Réseau

February 10, 2026

Catégories

• Kubernetes
• Sécurité

Tags

• Kubernetes
• Réseau
• STRIDE
• Services

🔍 Licence d'Utilisation 🔍

Sauf mention contraire, le contenu de ce blog est sous licence CC BY-NC-ND 4.0.

© 2025 à 2042 Sébastien Gioria. Tous droits réservés.

⏱️

Temps de lecture estimé
~1 minute

Services — Exposition Réseau Sécurisée

Description & Rôle

Un Service abstrait l’exposition réseau des pods en fournissant une adresse IP stable et un DNS. Les types courants sont :

• ClusterIP : exposition interne uniquement
• NodePort : exposition externe via port node
• LoadBalancer : distribution de charge externe
• ExternalName : redirection vers un service externe

CVEs Connus

ℹ️

CVE-2023-3676 — Exposition involontaire de services via LoadBalancer controller en cas de misconfiguration. Affecte Kubernetes < 1.27.3. Lien CVE

Analyse STRIDE

Risque	Description
S — Spoofing	Accès à un Service en usurpant son identité via DNS spoofing
T — Tampering	Interception du trafic Service via MITM
R — Repudiation	Pas de logs du trafic transitant par le Service
I — Information Disclosure	Exposition involontaire de ports/services
D — Denial of Service	Service mal équilibré ou surchargé
E — Elevation of Privilege	Accès à des Services restreints

Best-Practices Minimales

• Type approprié : utiliser ClusterIP par défaut, restreindre NodePort et LoadBalancer
• Sélecteurs précis : labeling rigoureux pour le mappage pod-service
• Network policies : restreindre le trafic entrant/sortant
• TLS/mTLS : chiffrer le trafic (Istio, Linkerd, cert-manager)
• Ingress controller : utiliser un Ingress plutôt que NodePort si possible
• No external traffic : externalTrafficPolicy: Local pour ne pas exposer d’autres nodes
• Service mesh : Istio/Linkerd pour la visibilité et le contrôle du trafic
• Monitoring : alertes sur les erreurs de connexion Service

Partager Tweet LinkedIn Reddit Substack

Articles lies

MITRE ATT&CK appliqué aux applications Web cloud native

Mapper les attaques cloud native avec MITRE ATT&CK Cloud : Kubernetes, IAM, containers, APIs, CI/CD et détections adaptées.

19/06/2026

Le Résumé de la semaine 2026-W24

Résumé de la semaine 2026-W24: K08: RBAC mal configuré; K09: Journalisation et monitoring inadéquats; K10: Compromission de la supply chain

15/06/2026

K10 : Compromission de la supply chain

Réduire le risque OWASP K10 Kubernetes avec Sigstore, SLSA, SBOM CycloneDX, Kyverno et des contrôles d'admission supply chain.

12/06/2026

K09 : Journalisation et monitoring inadéquats

Sans audit logging activé, un attaquant peut pivoter à travers le cluster sans laisser la moindre trace exploitable.

10/06/2026

Le Résumé de la semaine 2026-W23

Résumé de la semaine 2026-W23: K05: Configuration obsolète et vulnérable; RAMPART & Clarity: quand les outils rejoignent le threat modeling agentiqu

08/06/2026