ref: https://www.cyberark.com/resources/threat-research-blog/securing-kubernetes-clusters-by-eliminating-risky-permissions

本篇文章是一個基礎分享文，整個主軸圍繞於 Authentication 與 Authorization 兩大塊，同時透過這兩大概念的介紹來分享一些會可能會有資安問題的設定

開頭作者探討了 Kubernetes 的架構，並且將 API Server 這個重點核心拿來出探討，提到為了存取 Kubernetes API，使用者必須要經過三個階段的處理，分別是
Authentication, Authorization 以及 Admission Control

接者用一個簡單的流程來說明上述三者的差異，假設今天有一個 Client 想要請求 API Server 幫忙創建一個 Pod 的物件。
首先 API Server 會針對該請求進行 Authentication 的檢查，通常情況下會使用 Certificate, Tokens, Basic Authentication(username/password) 來判別。
如果通過後，則會進入到 Authorization 的階段，該階段要判別發送當前 Request 的 Client 是否擁有創建 Pod 的權限，如果有權限就會把相關操作交給後續的 Admission Control 來處理。
文章中舉了一個名為 AlwaysPullImages 的 Admission Controller，該 Controller 對於一個多用戶的 Kubernetes Cluster 來說特別有用，主要是用來確保使用者 A 想要使用的 Private Image 不能被使用者 B 存取。
試想一個情況，假設今天使用者 A 順利於 NodeA 上抓取了自己的 Private Image，那使用者 B 假如很剛好知道這個 Image 的名稱，是不是有機會就可以不需要相關權限直接使用 NodeA 上的 Image？
所以這個 Admission Controller 就是用來避免這個問題的。

接者作者從 Authentication 與 Authorization 中個挑選一個方式來介紹並且講解這兩者如何結合的。

Authentication 使用的是 Service Account Token，管理會事先於 Kubernetes 內創立一個相關的 Service Account，並且把該 SA(Service Account) 的 Token 給交給 Client(Kubeconfig 也可)
Client 發送 HTTPS 請求到 API Server 的時候就可以夾帶這個 Token 的資訊，這樣 API Server 就會去檢查該 Token 是否存在於 Cluster 內。

事實上當每個 Pod 被創立後， Kubernetes 預設情況下就會將該 namespace 下的 service account 資訊給掛載到該 Pod 內的 "/var/run/secrets/kubernetes.io/serviceaccount" 這個路徑
這樣該 Pod 就可以使用該 Service Account Token 的資訊與 API Server 溝通。

Authorization 則是使用 RBAC 的方式來處理， RBAC 由三個部分組成，分別是 Role(代表可以針對 Cluster 進行什麼樣類型的操作，譬如 create pod, delete pod), Subject(你是誰，譬如 Service Account), RoleBinding(用來將 Role 與 Subject 給綁定)

管理員要創建並且管理這些叢集的話，就要好好的去設計這三個物件的關係，來確保最後的 Client 可以擁有剛剛好符合其需求的權限，千萬不要為了懶散而給予過多權限。

接者作者列舉了五種 Risky permissions 的可能情境
1. Listing secrets
大部分的應用程式開發者都會使用 secret 的物件來管理一些機密資訊，如帳號密碼，憑證等，所以一個擁有 list secrets 的 service account 其實是相對危險的。
非必要的話，不要讓管理員以外的任何使用者有這個權限，特別是使用 ClusterRole/ClusterRoleBinding 時要特別注意

2. Creating a pod with a privileged service account
假設今天有一個攻擊者已經獲得一個可以創建 pod 的 service account，那該攻擊者已經可以很順利的於叢集內創建 Pod 去進行基本操作(譬如挖礦)
如果攻擊者很巧地又知道目標 namespace 內存在一個很強的 service account，它就有辦法讓他創立的 Pod 去使用這個很強的 Service Account 並且進行更多後續操作

3. Impersonating privileged accounts
作者提到 Impersonating 這個 Role 裡面的動作要特別小心使用，擁有這個權限的使用者可以輕鬆化身為其他的使用者/群組
舉例來說，一個擁有 Impersonating -> users/group 的 serviceaccount 是沒有辦法看到任何 secrets 的物件。
但是攻擊者只要使用的時候加上 --as=null --as-group=system:master 則就會變成如 master 般的上帝擁有這些權限
因此這種權限設定上要特別小心

4. Reading a secret – brute-forcing token IDs
5. Creating privileged RoleBindings

後續兩個有興趣的可以參考全文，都是滿有趣的一些想法，值得閱讀擴展自己的認知

[重新…自我介紹?!]
起床打開FB想說花黑噴，右上角滿滿的通知，身為一個邊緣宅怎麼突然夯了起來，才發現原來置頂文被股癌大推薦了，再此感謝 股癌 Gooaye 的強制灌粉，直接破萬嚇死我，既然幾乎都是新朋友，就來重新自我介紹一次好了?

Hi 大家好， 我是揀貝人

曾任投信量化研究員(主做多因子策略)和壽險產業研究員(主看美股科技巨頭)， 現在離開金融圈在實業圈幫忙投資閒置資金，主要投美股。

已通過CFA L3考試，但盪森到不想繳年費(?)，所以至今仍未領證。

這麼拗口的名字其實有兩個意涵:

1. 我投資的方式主要是挑股票，而挑股票的過程跟在海灘撿貝殼很像。

2. 另一個意涵來自於牛頓傳，牛頓曾說: 「我就像一個在海邊玩耍的小男孩，偶爾撿到特別光滑的石頭或漂亮的貝殼就開心不已，但對於眼前的真理大海卻一無所知。」

希望時刻提醒自己，投資市場十分複雜，個人能力有所極限，要永懷敬畏市場的心。

自認為價值傾向的實證主義者，價值觀上偏價值投資，但實際做法比較務實，只要找到看得懂的無效率、超額報酬都至少會試單。

研究風格的自我定位是通才路線，代表我遵循8/2法則，盡可能的接觸各種領域，掌握該領域最重要的知識。這也代表我不可能把所有事情都看得很深，誠實說，現在的工作也很難讓我像在壽險一樣，只專心看一個領域。(但如果想看專業美股科技分析文，只要訂閱 Gamma 美股科技投資 就看的到了唷!!生產力還是我的好幾倍呢!!)

然後~其實我真的不知道要寫啥XDD，就像置頂文寫的，一般人需要的其實是被動投資，對被動投資來說，要的不是更多資訊，而是能堅持下去的信念。如果依然想不開想做主動投資，我一律推薦<哥倫比亞商學院必修投資課>書寫的比我用講的好太多了。工作的東西我也不太能講得太細，還是會有些利益衝突。所以~如果大家想特別看啥可以留言提議看看，我可以挑幾個不錯的寫寫看。

最後，既然大部分都是新朋友，代表舊文其實對大多數人都是新東西吧!就整理了一下我覺得主題比較適合大眾的舊文章了(整理完發現生產力如此低落=ˇ=幾乎都是轉po近期看的文章和書單，自己沒寫啥文章)

1. 你說的價值投資，是什麼價值投資?
最近很多人說價值投資已死，但我認為價值投資其實沒有太大的問題，只是需要從廣義的角度去看待它。
https://reurl.cc/vq5RXA

2. 對於壽險可投資性的想法
這篇裡面包含了分析壽險的一些基礎學習資料+上我自己的思路。
https://reurl.cc/AkgvDZ

3. 書單
可以參考一下，充分展現我的價投路徑依賴。
https://reurl.cc/4ayVGR

4. Podcast - 第一次接受財報狗訪談(去年 5/29)
https://reurl.cc/1YgNLX

5. Podcast - 上個月去財報狗回答學員Q/A

part 1 https://reurl.cc/qgmWbE
part 2 https://reurl.cc/qgmWjg

就這樣，之後請大家多多指教了~

🏆#免費試用活動 #文末抽LINEPOINT　
想像力就是你的超能力
來自土耳其的創意商品，把一切東西都變成有趣的玩具!
　
【🇹🇷土耳其 TOYI 動奇玩件】
土耳其 TOYI 自由創意教具組
開啟孩子想像力的最好組件，用TOYI把所有東西都變成獨特的玩具
具有環保概念的玩具，每個孩子都是獨一無二的玩具設計師
開放式玩法，一包就能創造出無數的玩具
　
👼 8/24 (一)～9/06 (日)
歡迎家有6歲以上小朋友的媽咪報名免費試用喔👉 https://try2.tw/plqGY
　
#抽獎 8/24 (一)～9/06 (日) 快來跟著跩編這樣做!!
🔸步驟一 成為跩媽咪粉絲
🔸步驟二 加入跩媽咪會員→ https://tien2.tw/DuNCR
🔸步驟三 按本篇文章讚並"公開分享此篇文章"
🔸步驟四 Tag 2位媽咪朋友並留言：「我想要試用 #土耳其TOYI動奇玩件」
完成以上步驟才符合抽獎資格。
　
9/7後將抽出幸運跩粉獲得LINE POINT 200點(共3名)
　
#中獎媽咪須為跩媽咪會員記得先註冊
#babylux
#跩媽咪