Perguntas Frequentes sobre Segurança

O Guia de Proteção está localizado na seção principal Segurança.

Executamos o benchmark do CIS Kubernetes contra um cluster Kubernetes do Rancher com proteção. Os resultados dessa avaliação podem ser encontrados na seção principal Segurança.

A comunicação entre o servidor Rancher e os clusters downstream é realizada através de agentes. O Rancher utiliza um pacote de autoridade certificadora (CA) registrado ou o armazenamento de confiança local para verificar a comunicação entre os agentes do Rancher e o servidor Rancher. Usar um pacote de CA para verificação é mais rigoroso, pois apenas os certificados baseados nesse pacote são confiáveis. Se a verificação TLS para um pacote de CA explícito falhar, o Rancher pode recorrer ao uso do armazenamento de confiança local para verificar a comunicação futura. Qualquer CA dentro do armazenamento de confiança local pode ser usada para gerar um certificado válido.

Conforme descrito em Atualização de Segurança do Rancher CVE-2024-22030, sob um conjunto restrito de circunstâncias, atores maliciosos podem assumir o controle dos nós do Rancher explorando o comportamento das CAs do Rancher. Para que o ataque tenha sucesso, o ator malicioso deve gerar um certificado válido a partir de uma CA válida no servidor Rancher alvo ou de uma CA registrada válida. O atacante também precisa ou sequestrar ou falsificar a URL do servidor Rancher como um passo preliminar. O Rancher está atualmente avaliando o comportamento da CA do Rancher para mitigar isso e quaisquer avenidas de ataque semelhantes.