Kubernetes по умолчанию содержит настройки, не соответствующие современным стандартам безопасности. По данным BI.ZONE EDR, в использующих Kubernetes компаниях подавляющее большинство кластеров содержат критические мисконфигурации — от открытого API-сервера до незашифрованных данных в etcd и уязвимых настроек kubelet. Именно на эти слабые места нацелены атаки, например с применением вредоноса Kinsing: он использует уязвимые поды как ресурсы для майнинга или как точки распространения внутри системы. В этой статье — гид по харденингу Kubernetes, основанный на рекомендациях CIS и реальном опыте реагирования на инциденты. Читать