⏱️
Temps de lecture estimé
~1 minute
~1 minute
Volumes & PersistentVolumes — Stockage Sécurisé
Description & Rôle
- Volumes : stockage éphémère ou persistant attaché au pod
- PersistentVolumes (PV) : ressources cluster-wide
- PersistentVolumeClaims (PVC) : requête de stockage par pods
- Storage Classes : provisionnement dynamique
Types courants : emptyDir, hostPath, nfs, configMap, secret, cloud storage (EBS, GCE PD).
CVEs Connus
ℹ️
CVE-2024-8869 — Fuite de données via snapshotVolume permettant l’accès à des données sensibles. Affecte Kubernetes 1.27.x, 1.28.x. Lien CVE
Analyse STRIDE
| Risque | Description |
|---|---|
| S — Spoofing | Pod accédant à un PV d’un autre pod |
| T — Tampering | Modification des données du volume sans contrôle d’accès |
| R — Repudiation | Pas de logs d’accès aux volumes |
| I — Information Disclosure | Accès à des données sensibles stockées sur le volume |
| D — Denial of Service | Volume full, ou suppression involontaire de données |
| E — Elevation of Privilege | Utilisation de hostPath exposant le système hôte |
Best-Practices Minimales
- Éviter
hostPath: utilisable uniquement pour les composants système - Storage chiffré : Kubernetes encryption, ou storage provider encryption
- RBAC sur PV/PVC : permissions limitées aux ServiceAccounts autorisés
- Sauvegardes : backup régulier des données persistantes
- Snapshots : capability snapshots avec audit trail
- Permissions fichiers :
fsGroup,fsGroupChangePolicypour les permissions - Monitoring : alertes sur capacité disque, latence I/O
- Resilience : StorageClass avec replication multi-zone
- Retention policies : politique de conservation explicite