Preguntas frecuentes sobre seguridad

La guía de protección se encuentra en la sección principal Seguridad.

Hemos ejecutado el estándar CIS de Kubernetes contra un clúster de Kubernetes de Rancher protegido. Los resultados de esa evaluación se pueden encontrar en la sección principal Seguridad.

La comunicación entre el servidor de Rancher y los clústeres descendentes se realiza a través de agentes. Rancher utiliza un paquete de autoridad de certificación (CA) registrado o la tienda de confianza local para verificar la comunicación entre los agentes de Rancher y el servidor de Rancher. Utilizar un paquete de CA para la verificación es más estricto, ya que solo se confían los certificados basados en ese paquete. Si la verificación TLS para un paquete de CA explícito falla, Rancher puede recurrir a utilizar la tienda de confianza local para verificar la comunicación futura. Cualquier CA dentro de la tienda de confianza local puede ser utilizada para generar un certificado válido.

Como se describe en Actualización de seguridad de Rancher CVE-2024-22030, bajo un conjunto limitado de circunstancias, actores maliciosos pueden tomar el control de los nodos de Rancher explotando el comportamiento de las CAs de Rancher. Para que el ataque tenga éxito, el actor malicioso debe generar un certificado válido de una CA válida en el servidor de Rancher objetivo, o de una CA registrada válida. El atacante también necesita secuestrar o suplantar la URL del servidor de Rancher como un paso preliminar. Rancher está evaluando actualmente el comportamiento de la CA de Rancher para mitigar este y cualquier otro tipo de ataque similar.