disallow secrets (SYS.1.6.A8)
SYS.1.6.A8:
Zugangsdaten MÜSSEN so gespeichert und verwaltet werden, dass nur berechtigte Personen und Container darauf zugreifen können. Insbesondere MUSS sichergestellt sein, dass Zugangsdaten nur an besonders geschützten Orten und nicht in den Images liegen. Die von der Verwaltungssoftware des Containerdienstes bereitgestellten Verwaltungsmechanismen für Zugangsdaten SOLLTEN eingesetzt werden. Mindestens die folgenden Zugangsdaten MÜSSEN sicher gespeichert werden:
- Passwörter jeglicher Accounts,
- API-Keys für von der Anwendung genutzte Dienste,
- Schlüssel für symmetrische Verschlüsselungen sowie
- private Schlüssel bei Public-Key-Authentisierung.
Aktuell leiten wir daraus lediglich ab, dass keine Secrets in ENV gespeichert werden sollen. Allerdings ist auch das referenzieren von Secrets aus ENVs heraus riskanter, als das lesen von Files (siehe z.B. CIS Benchmark 5.4.1: Prefer using secrets as files over secrets as environment variables.)
Ebenfalls kann geprüft werden, ob neue Rollen Zugriff auf Secrets bekommen (ClusterRoles, Roles) und dies unterbunden werden.
Wir sollten also in der Policy ebenfalls SecretsRef und Rollen, die auf Secrets zugreifen unterbinden. Dies ist ebenfalls relevant fuer das WhitePaper. Ausnahmen können ja zur Regel geflaggt werden