콘텐츠로 이동

/audit-security

/audit-security 스킬은 과도한 권한을 가진 ID와 워크로드를 찾습니다: 실제 사용보다 더 많은 접근 권한을 가진 ServiceAccount, root 또는 호스트 수준 탈출을 사용하여 실행되는 파드, 그리고 네임스페이스 범위 역할로 충분한데 클러스터 전체 권한을 부여하는 바인딩.

인수 없이 실행하면 전체 스윕을 수행하거나, 워크플로 이름을 지정하여 보고서 범위를 좁힐 수 있습니다.

/audit-security                    # full sweep
/audit-security rbac               # single workflow
/audit-security pods in kube-system

모든 워크플로에서 자연어 범위 지정(네임스페이스, 레이블 셀렉터, 워크로드 이름)이 지원됩니다(개요 참조).

워크플로

섹션 제목: “워크플로”

1. RBAC

섹션 제목: “1. RBAC”

출처: Kubernetes API.

2. 파드 보안

섹션 제목: “2. 파드 보안”

출처: Kubernetes API, 업스트림 Pod Security Standards 기준으로 평가.

3. Secret 및 ServiceAccount 토큰

섹션 제목: “3. Secret 및 ServiceAccount 토큰”

출처: Kubernetes API.

에이전트에게 전달되는 내용

섹션 제목: “에이전트에게 전달되는 내용”

워크플로 외에도 스킬은 에이전트에게 보고 방법을 안내합니다:

  • 폭발 반경을 기준으로 결과 순위를 매깁니다 — 네임스페이스 범위 와일드카드보다 클러스터 범위 와일드카드를, seccomp 프로파일 누락보다 호스트 탈출을 상위에 배치합니다.
  • RBAC 검사는 정적임을 명시합니다: Role이 부여하는 것을 찾는 것이지, 주체가 실제로 사용하는 것을 찾는 것이 아닙니다. 진정으로 사용되지 않는 권한을 감지하려면 감사 로그 분석이 필요하며, 이 스킬은 그것을 수행하지 않습니다.
  • Secret 오브젝트는 이름, 네임스페이스, 타입만으로 참조합니다 — 내용을 읽거나 노출하지 않습니다.
  • 문제가 되는 동사나 플래그의 이름만 나열하지 않고 결과가 중요한 이유(해당 권한이 허용하는 것)를 한 줄로 설명합니다.
  • 특정 워크로드는 /investigate로, 파드 보안에 인접한 mTLS 및 서비스 메시 포스처는 /audit-network로 전달합니다.