⏱️
Temps de lecture estimé
~1 minute
~1 minute
Pods — Unité d’Exécution Base
Description & Rôle
Un Pod est l’unité la plus petite déployable dans Kubernetes. Il encapsule un ou plusieurs conteneurs partageant un namespace réseau (même IP) et pouvant partager des volumes. Les pods sont éphémères et généralement managés par des controllers (Deployment, StatefulSet, etc.).
CVEs Connus
ℹ️
CVE-2024-21626 — Escape de conteneur via runc permettant l’accès au host. Affecte les conteneurs utilisant runc < 1.1.12. Lien CVE
ℹ️
CVE-2023-46604 — Vulnérabilité dans le runtime containerd permettant l’execution de code arbitraire. Affecte containerd < 1.6.25, 1.7.x < 1.7.11. Lien CVE
Analyse STRIDE
| Risque | Description |
|---|---|
| S — Spoofing | Pod usurpant l’identité d’un autre via ServiceAccount |
| T — Tampering | Modification du contenu du pod ou interception du trafic intra-pod |
| R — Repudiation | Absence de logs d’activité pod |
| I — Information Disclosure | Fuite de secrets montés en variables d’environnement |
| D — Denial of Service | Pod mal configuré consommant les ressources du node |
| E — Elevation of Privilege | Container en mode privilégié (privileged: true) |
Best-Practices Minimales
- SecurityContext strict :
runAsNonRoot: true,readOnlyRootFilesystem: true - Pas de privilèges :
privileged: false,allowPrivilegeEscalation: false - Capabilities minimales :
drop: ["ALL"], ajouter uniquement si nécessaire - Resource limits :
requestsetlimitspour CPU/mémoire - ServiceAccount dédicataire : moins privilégié possible
- Image scanning : vérifier les images avant déploiement (vulnérabilités, malware)
- Healthchecks :
livenessProbe,readinessProbe,startupProbe - Logs centralisés : envoyer les logs vers un système centralisé
- Network policies : isoler le trafic pod-to-pod
- Pas d’images
latest: utiliser des tags de version explicites