FAQ sur la sécurité

Le guide de renforcement de la sécurité se trouve dans la section principale Sécurité.

Nous avons exécuté le benchmark CIS Kubernetes sur un cluster Kubernetes Rancher renforcé au niveau de la sécurité. Les résultats de cette évaluation peuvent être trouvés dans la section principale Sécurité.

La communication entre le serveur Rancher et les clusters en aval se fait par le biais d’agents. Rancher utilise soit un bundle d’autorité de certification (CA) enregistré, soit le magasin de confiance local pour vérifier la communication entre les agents Rancher et le serveur Rancher. L’utilisation d’un bundle d’autorité de certification (CA) pour la vérification est plus stricte, car seuls les certificats basés sur ce bundle sont de confiance. Si la vérification TLS pour un bundle d’autorité de certification (CA) explicite échoue, Rancher peut revenir à l’utilisation du magasin de confiance local pour vérifier les communications futures. Toute CA dans le magasin de confiance local peut alors être utilisée pour générer un certificat valide.

Comme décrit dans Rancher Security Update CVE-2024-22030, dans un ensemble restreint de circonstances, des acteurs malveillants peuvent prendre le contrôle des nœuds Rancher en exploitant le comportement des CA Rancher. Pour que l’attaque réussisse, l’acteur malveillant doit générer un certificat valide à partir d’une CA valide dans le serveur Rancher ciblé, ou à partir d’une CA enregistrée valide. L’attaquant doit également soit détourner, soit usurper l’URL du serveur Rancher comme étape préliminaire. Rancher évalue actuellement le comportement des CA Rancher pour atténuer cette menace et toute voie d’attaque similaire.