~1 minute
Pods — Unité d’Exécution Base
Description & Rôle
Un Pod est l’unité la plus petite déployable dans Kubernetes. Il encapsule un ou plusieurs conteneurs partageant un namespace réseau (même IP) et pouvant partager des volumes. Les pods sont éphémères et généralement managés par des controllers (Deployment, StatefulSet, etc.).
CVEs Connus
CVE-2024-21626 — Escape de conteneur via runc permettant l’accès au host. Affecte les conteneurs utilisant runc < 1.1.12. Lien CVE
CVE-2023-46604 — Vulnérabilité dans le runtime containerd permettant l’execution de code arbitraire. Affecte containerd < 1.6.25, 1.7.x < 1.7.11. Lien CVE
Analyse STRIDE
| Risque | Description |
|---|---|
| S — Spoofing | Pod usurpant l’identité d’un autre via ServiceAccount |
| T — Tampering | Modification du contenu du pod ou interception du trafic intra-pod |
| R — Repudiation | Absence de logs d’activité pod |
| I — Information Disclosure | Fuite de secrets montés en variables d’environnement |
| D — Denial of Service | Pod mal configuré consommant les ressources du node |
| E — Elevation of Privilege | Container en mode privilégié (privileged: true) |
Best-Practices Minimales
- SecurityContext strict :
runAsNonRoot: true,readOnlyRootFilesystem: true - Pas de privilèges :
privileged: false,allowPrivilegeEscalation: false - Capabilities minimales :
drop: ["ALL"], ajouter uniquement si nécessaire - Resource limits :
requestsetlimitspour CPU/mémoire - ServiceAccount dédicataire : moins privilégié possible
- Image scanning : vérifier les images avant déploiement (vulnérabilités, malware)
- Healthchecks :
livenessProbe,readinessProbe,startupProbe - Logs centralisés : envoyer les logs vers un système centralisé
- Network policies : isoler le trafic pod-to-pod
- Pas d’images
latest: utiliser des tags de version explicites
Articles lies
MITRE ATT&CK appliqué aux applications Web cloud native
Mapper les attaques cloud native avec MITRE ATT&CK Cloud : Kubernetes, IAM, containers, APIs, CI/CD et détections adaptées.
19/06/2026Le Résumé de la semaine 2026-W24
Résumé de la semaine 2026-W24: K08: RBAC mal configuré; K09: Journalisation et monitoring inadéquats; K10: Compromission de la supply chain
15/06/2026K10 : Compromission de la supply chain
Réduire le risque OWASP K10 Kubernetes avec Sigstore, SLSA, SBOM CycloneDX, Kyverno et des contrôles d'admission supply chain.
12/06/2026K09 : Journalisation et monitoring inadéquats
Sans audit logging activé, un attaquant peut pivoter à travers le cluster sans laisser la moindre trace exploitable.
10/06/2026Le Résumé de la semaine 2026-W23
Résumé de la semaine 2026-W23: K05: Configuration obsolète et vulnérable; RAMPART & Clarity: quand les outils rejoignent le threat modeling agentiqu
08/06/2026