Sicherheits-FAQ

Der Härtungsleitfaden befindet sich im Hauptbereich Sicherheit.

Wir haben den CIS Kubernetes Benchmark gegen ein gehärtetes Rancher Kubernetes-Cluster durchgeführt. Die Ergebnisse dieser Bewertung finden Sie im Hauptbereich Sicherheit.

Die Kommunikation zwischen dem Rancher-Server und Downstream-Clustern erfolgt über Agenten. Rancher verwendet entweder ein registriertes Zertifizierungsstellen-Bündel (CA) oder den lokalen Vertrauensspeicher, um die Kommunikation zwischen Rancher-Agenten und dem Rancher-Server zu verifizieren. Die Verwendung eines registrierten Zertifizierungsstellen-Bündels (CA) zur Verifizierung ist strenger, da nur die auf diesem Bündel basierenden Zertifikate vertraut werden. Wenn die TLS-Verifizierung für ein explizites CA-Bündel fehlschlägt, kann Rancher auf den lokalen Vertrauensspeicher zurückgreifen, um zukünftige Kommunikation zu verifizieren. Jede CA im lokalen Vertrauensspeicher kann dann verwendet werden, um ein gültiges Zertifikat zu generieren.

Wie in Rancher Sicherheitsupdate CVE-2024-22030 beschrieben, können unter einer engen Reihe von Umständen böswillige Akteure Rancher-Knoten übernehmen, indem sie das Verhalten von Rancher CAs ausnutzen. Damit der Angriff erfolgreich ist, muss der böswillige Akteur ein gültiges Zertifikat von einer gültigen CA im angegriffenen Rancher-Server oder von einer gültigen registrierten CA generieren. Der Angreifer muss auch entweder die Rancher-Server-URL übernehmen oder fälschen, als ersten Schritt. Rancher bewertet derzeit das Verhalten von Rancher CAs, um gegen diese und ähnliche Angriffswege vorzugehen.