В статье "Kubernetes Honey Token" рассматривается пример реализации концепции
Авторы в данной статье в качестве такого выбрали
Естественно, можно придумать и другие подходы с этими
- Подкладывать файлы через
- Смотреть использование дефолтного
- Добавлять в переменные окружения контейнеров специальные адреса и мониторить обращение к ним
В общем в данной теме есть где разгуляться фантазии ;)
P.S. Предлагайте свои идеи в комментариях!
Canary Tokens в Kubernetes. Общая идея данной концепции заключается в том, что для злоумышленников специально оставляются какие-то интересные ему сущности, при взаимодействии с которыми мы сразу об этом можем узнать.Авторы в данной статье в качестве такого выбрали
ServiceAccount. И предлагают взять его от Helm v2 тот, что с Tiller. Тоесть если вы его используете по назначению, то вам такой подход не подойдет - он не должен использоваться у вас.Естественно, можно придумать и другие подходы с этими
Canary Tokens в Kubernetes и даже использовать их комбинацию. Среди моих идей на пример есть:- Подкладывать файлы через
init container и смотреть обращение к ним- Смотреть использование дефолтного
ServiceAccount токена, где он вообще не используется (если вы его не отключили)- Добавлять в переменные окружения контейнеров специальные адреса и мониторить обращение к ним
В общем в данной теме есть где разгуляться фантазии ;)
P.S. Предлагайте свои идеи в комментариях!