~1 minute
Namespaces — Isolation Logique
Description & Rôle
Les Namespaces fournissent une isolation logique des ressources au sein d’un cluster. Ils permettent de partager un cluster physique entre plusieurs équipes ou applications avec isolation virtuelle.
Important : les Namespaces ne sont PAS une isolation sécuritaire réseau, c’est une isolation logique administrative.
Analyse STRIDE
| Risque | Description |
|---|---|
| S — Spoofing | Pod d’un namespace accédant aux ressources d’un autre |
| T — Tampering | Modification d’objets dans un autre namespace via RBAC faible |
| R — Repudiation | Pas de logs par namespace |
| I — Information Disclosure | Énumération des ressources d’autres namespaces |
| D — Denial of Service | Une application consommant les ressources du cluster entier |
| E — Elevation of Privilege | Utilisation du default ServiceAccount avec permissions excédentaires |
Best-Practices Minimales
- Namespaces distincts : par environnement (dev, staging, prod) ou par tenant
- Network Policies obligatoires : deny-all par défaut, whitelist explicite
- RBAC par namespace : RoleBindings restrictifs par namespace
- Resource Quotas : limites de CPU/mémoire par namespace
- LimitRanges : limites par pod/container
- Pas de communication inter-namespace : sauf si explicitement autorisé
- Audit par namespace : logs d’activité par namespace
- Isolation réseau : Calico, Cilium, ou kube-router pour l’isolation L3/L4
- Service mesh : Istio/Linkerd pour l’isolation L7
Articles lies
MITRE ATT&CK appliqué aux applications Web cloud native
Mapper les attaques cloud native avec MITRE ATT&CK Cloud : Kubernetes, IAM, containers, APIs, CI/CD et détections adaptées.
19/06/2026Le Résumé de la semaine 2026-W24
Résumé de la semaine 2026-W24: K08: RBAC mal configuré; K09: Journalisation et monitoring inadéquats; K10: Compromission de la supply chain
15/06/2026K10 : Compromission de la supply chain
Réduire le risque OWASP K10 Kubernetes avec Sigstore, SLSA, SBOM CycloneDX, Kyverno et des contrôles d'admission supply chain.
12/06/2026K09 : Journalisation et monitoring inadéquats
Sans audit logging activé, un attaquant peut pivoter à travers le cluster sans laisser la moindre trace exploitable.
10/06/2026Le Résumé de la semaine 2026-W23
Résumé de la semaine 2026-W23: K05: Configuration obsolète et vulnérable; RAMPART & Clarity: quand les outils rejoignent le threat modeling agentiqu
08/06/2026