1
任何莢使用Kubernetes' kubectl我可以執行任意命令,如kubectl exec pod-id-here -c container-id -- malicious_command --steal=creditcardsKubernetes命令在谷歌雲平臺的日誌記錄PCI合規性
應該是不會發生,我需要能夠拉了一個日誌說誰執行命令和執行的命令。這包括如果他們決定運行其他的東西,只需運行/bin/bash然後通過tty竊取數據。
我將如何看到哪個經過身份驗證的用戶執行了命令以及他們執行的命令?
我在我的研究中看到了這一點,但他們幾乎沒有在9天前一起獲得最初的計劃。我知道包括WePay在內的幾家公司必須符合PCI標準,並且他們正在使用Kubernetes。企業是否需要完全合規才能使用Kubernetes? – nathanjosiah
如果你在一個只有二進制文件的容器中運行你的應用程序(例如從頭構建而不是像debian或者高山linux等全功能的操作系統),那麼你能夠在容器中執行kubectl exec的唯一方法就是已經運行。我想你可以用不同的命令來執行它,但是你也可以建立一個不帶標誌的二進制文件,這樣做也是不可能的。我想我想說審計日誌記錄是解決合規性要求的方法之一,但它可能不是唯一的方法。 –