Skip to content

¿Cuáles son los fundamentos de la seguridad en Kubernetes (RBAC y políticas de red)?

Respuesta breve

El RBAC controla qué pueden hacer las identidades contra la API de Kubernetes — los Roles y ClusterRoles conceden verbos sobre recursos, vinculados a sujetos vía RoleBindings — y debe seguir el privilegio mínimo, evitando cluster-admin y comodines. Las políticas de red controlan el tráfico de pod a pod, que permite todo por defecto hasta que aplicas un default-deny y luego permites explícitamente los flujos requeridos. Juntos limitan el radio de impacto si un pod o token se ve comprometido.

Kubernetes viene abierto por defecto — permisos amplios y red plana — así que la seguridad es algo que debes añadir. Los dos controles fundamentales son el RBAC y las políticas de red, y una buena respuesta explica tanto el mecanismo como el comportamiento por defecto que pilla a la gente.

RBAC: quién puede tocar la API

Todo en Kubernetes pasa por el servidor de API, así que controlar el acceso a la API es primordial.

  • Roles / ClusterRoles definen un conjunto de verbos permitidos (get, list, create, delete) sobre recursos (pods, secrets). Los Roles están limitados a un namespace; los ClusterRoles abarcan todo el clúster.
  • RoleBindings / ClusterRoleBindings adjuntan esos roles a sujetos — usuarios, grupos o cuentas de servicio.
  • Privilegio mínimo: evita vincular cualquier cosa a cluster-admin, evita verbos/recursos con comodín, y da a la cuenta de servicio de cada carga de trabajo solo lo que necesita. Un pod que puede leer todos los secrets es una ruta de escalada seria si se ve comprometido.

Políticas de red: quién puede hablar con quién

Por defecto, cualquier pod puede alcanzar cualquier otro pod — red plana, que permite todo. Un pod comprometido puede escanear y pivotar con libertad.

  • Aplica una política default-deny en un namespace, y luego añade reglas ingress/egress explícitas que permitan solo los flujos que tu aplicación realmente necesita (p. ej. frontend a backend en un puerto).
  • Advertencia crítica: las políticas de red las aplica el plugin CNI. Si tu CNI no las soporta (o asumes que un default no-op lo hace), la política no hace nada en silencio — una razón común de que una regla "deny" parezca ignorada.

Qué buscan los entrevistadores

Separar el RBAC (autorización de API) de las políticas de red (segmentación de tráfico), conocer ambos comportamientos por defecto (RBAC amplio, red que permite todo), y la dependencia del CNI que hace que las políticas de red no surtan efecto sin soporte.

Posibles preguntas de seguimiento

  • ¿Por qué el tráfico de pod a pod permite todo por defecto, y cómo lo cambias a default-deny?
  • ¿Cuál es el riesgo de vincular una cuenta de servicio a cluster-admin?
  • ¿Por qué una NetworkPolicy que aplicaste podría no tener ningún efecto?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.