Perpustakaan Digital ITB

Kubernetes merupakan mesin orkestrator terkemuka untuk aplikasi berbasis kontainer yang memecahkan tantangan dalam pengelolaan aplikasi ter- kontainerisasi. Dengan mengacu pada model ancaman dari NCC dan CNCF, kontainer ter-compromised merupakan salah satu aktor ancaman yang dapat terjadi dalam Kubernetes. Sudah banyak insiden yang mengakibatkan aktor ancaman tersebut muncul seperti insiden Spring4Shell dan miskonfigurasi konsol Kubernetes Tesla. Secara bawaan, tidak adanya kontrol akses terhadap secret- secret dalam sehingga saat kontainer ter-compromised penyerang dapat dengan mudah mengakses secret-secret tersebut. Dari sisi pengguna dapat menerapkan kontrol akses untuk mengamankan secret-secret tersebut dengan menggunakan fitur bawaaan Kubernetes yaitu SecurityContext. Namun, dengan banyaknya pekerjaan manual yang perlu dilakukan membuat penerapan kontrol akses sulit dilakukan. Untuk mengatasi masalah-masalah tersebut, diusulkan suatu solusi yang melibatkan penggunaan kakas KubeArmor, Kubernetes controller dan kontainer init yang digunakan untuk membatasi akses secret dalam kontainer, mengurangi lingkup pengaksesan secret dan mengotomasi pekerjaan manual yang dilakukan pengguna. Berdasarkan hasil pengujian, solusi yang diusulkan telah berhasil mengamankan, mengurangi lingkup akses mounted file dan environment variables secret serta mengatasi dampak secret terekspos akibat ter-compromised-nya kontainer. Selain itu, penggunaan solusi ini juga mudah digunakan, pengguna hanya perlu menambahkan label-label pada manifest Pod.