Tożsamość i uprawnienia
- RBAC
- Roles / ClusterRoles
- service accounts
- tokeny
- dostęp do secrets
- uprawnienia operatorów i controllerów
- ryzyka eskalacji uprawnień
Kubernetes Security Assessment
Sprawdzamy Kubernetes, OpenShift, Rancher, RKE2 i K3s tak, jak patrzyłby na nie atakujący: RBAC, service accounty, sekrety, ingressy, NetworkPolicies, CI/CD, registry, workloady i node’y.
Łączymy pentest Kubernetes, audyt klastra Kubernetes i hardening Kubernetes w jeden konkretny proces: od konfiguracji i uprawnień po wpływ na produkcyjne deploymenty.
Dostajesz raport techniczny, wersję zarządczą i plan hardeningu 30/60/90 dni. Materiał możesz wykorzystać przy przeglądzie bezpieczeństwa u klienta, NIS2/KSC albo rozmowie z audytorem.
01
Najczęściej pomagamy zespołom, które mają Kubernetes, OpenShift, Rancher, RKE2 albo K3s na produkcji i chcą uporządkować bezpieczeństwo bez zatrzymywania pracy.
02
Metodyka i standardy
Łączymy manualny assessment z odniesieniem do uznanych standardów i przewodników. Nie przepisujemy checklisty 1:1 — mapujemy ustalenia na realne ścieżki ataku, wpływ biznesowy i kolejność napraw.
Bezpieczny przebieg testów
Pracujemy na uzgodnionym zakresie, z zasadami ROE, oknami testowymi i kanałem eskalacji. Możemy zacząć od read-only configuration review, stagingu albo ograniczonego zakresu produkcyjnego. Nie wykonujemy działań destrukcyjnych bez osobnej zgody. Ustalenia dokumentujemy z dowodami, wpływem i rekomendowaną kolejnością napraw.
03
od 12 000 zł netto
Krótki przegląd jednego klastra Kubernetes, OpenShift, Rancher, RKE2 albo K3s. Skupiamy się na miejscach, które najczęściej robią różnicę: RBAC, service accounty, sekrety, ingress, NetworkPolicies, wybrane workloady i połączenie CI/CD z klastrem.
Dostajesz listę najważniejszych ryzyk, krótki raport techniczny, rekomendacje i 60–90 minut omówienia z CTO albo zespołem DevOps.
od 29 000 zł netto
Pełny przegląd bezpieczeństwa klastra i otoczenia cloud-native. Analizujemy uprawnienia, sekrety, NetworkPolicies, ingress, ekspozycję usług, workloady, node’y, registry, logowanie, monitoring i podstawy supply chain security.
Wynikiem jest raport techniczny, podsumowanie zarządcze, mapa ścieżek ataku, priorytety naprawcze i plan działań na 30/60/90 dni.
od 45 000 zł netto
Szerszy przegląd dla firm SaaS, software house’ów i zespołów platformowych. Łączymy Kubernetes, CI/CD, registry, GitOps, API i podstawowy AppSec, żeby zobaczyć cały przepływ od kodu do produkcji.
Powstaje materiał dla CTO, DevOps, zarządu, dużego klienta albo odpowiedzi na ankietę bezpieczeństwa.
od 4 900 zł/mies. netto
Comiesięczne sprawdzenie zmian w bezpieczeństwie klastra. Patrzymy na nowe uprawnienia, ekspozycje, zmiany RBAC, nowe workloady, ryzyka w ingressach i status poprawek.
Zamiast kolejnego dużego audytu dostajesz krótki raport zmian, priorytety na kolejny okres i bieżącą kontrolę po assessmentcie.
04
Pojedynczy błąd w konfiguracji rzadko mówi całą historię. Ważniejsze jest to, czy kilka słabszych miejsc da się połączyć w scenariusz z realnym skutkiem.
Taki opis pomaga zespołowi technicznemu naprawiać rzeczy w sensownej kolejności, a zarządowi zrozumieć, dlaczego dany temat jest ważny.
od pojedynczego błędu do skutku
Zobacz, jak pojedyncze błędy łączą się w realny scenariusz.
Anonimizowany scenariusz oparty na typowych błędach
Ścieżka ataku
Podatna aplikacja → workload → token service account → nadmiarowy RBAC → odczyt secrets → dostęp do registry → możliwość wpływu na deployment produkcyjny.
Wpływ
Możliwość odczytu sekretów i wpływu na deployment produkcyjny. To realna ścieżka przejęcia części środowiska, a nie tylko pojedynczy alert ze skanera.
Priorytet
Critical / High, zależnie od zakresu dostępu.
Naprawa
Ograniczenie RBAC, wyłączenie automount tokenów tam, gdzie nie są potrzebne, rotacja sekretów, NetworkPolicy default deny, admission policy oraz weryfikacja dostępu CI/CD do registry i namespace’ów produkcyjnych.
To przykład labowy, ale oparty na błędach, które regularnie pojawiają się w prawdziwych środowiskach Kubernetes.
Rezultat końcowy
Klient nie płaci za samą aktywność testową. Najważniejszy jest materiał, który pozwala podjąć decyzje, zaplanować poprawki i pokazać dowody techniczne klientowi, audytorowi albo zarządowi.
Polityki i procedury to za mało, gdy klient albo audytor pyta o faktyczny stan środowiska. Przygotowujemy materiał pokazujący, jak wyglądają dostępy, sekrety, logowanie, podatności, retesty i plan napraw.
To ważny trust asset CertRank. Publiczne podatności w Gitea, Traefik, rclone, SimpleSAMLphp i ProxySQL pokazują, że pracujemy blisko kodu, umiemy ocenić wpływ błędu i opisać go w sposób przydatny dla zespołów utrzymujących systemy.
critical CVSS 9.9
HTTP/3 mTLS bypass
critical CVSS 9.8
SAML binding bypass
pre-auth heap overflow CVSS 9.8
Jeżeli po assessmentcie zespół chce wejść głębiej w konkretne obszary, możemy zrobić warsztat zamknięty albo dobrać szkolenia z Kubernetes Security, CKS, CI/CD Security, API, AppSec i AI/LLM Security.
Przejdź do AcademyNie. To techniczna ocena środowiska Kubernetes, CI/CD i usług powiązanych. Raport może być jednak dobrym załącznikiem do pracy nad NIS2/KSC, przeglądu bezpieczeństwa u klienta albo ankiety bezpieczeństwa.
Nie. Automatyzacja pomaga zebrać dane, ale najważniejsze ustalenia są sprawdzane ręcznie i opisane w kontekście Waszego środowiska.
Tak, jeżeli ustalimy zakres, okna testowe i zasady bezpieczeństwa. Możemy też zacząć od stagingu albo samej analizy konfiguracji.
Krótkie podsumowanie: najważniejsze ryzyka, możliwy wpływ biznesowy, priorytety i decyzje, które warto podjąć.
Raport techniczny z dowodami, rekomendacjami, priorytetami i kolejnością napraw. Bez lania wody i bez przepisywania alertów jeden do jednego.
Tak. Możemy zrobić retest, warsztat techniczny albo szkolenie zespołu w Academy.