security-testing

This homelab has six primary attack layers. See references/attack-surface.md for the full inventory of known weaknesses per layer.

| Network | Cilium default-deny, profile CCNPs | Prometheus scrape baseline (any port), escape hatch window, intra-namespace freedom | | Gateway | Coraza WAF, Istio Gateway API | WAF FAILOPEN, PL1 bypass, gateway allowedRoutes.from: All |

| Authentication | OAuth2-Proxy, Authelia 2FA, app-native | 7-day cookie, brute force window, Vaultwarden admin redirect bypass | | Authorization | PodSecurity admission, RBAC | Minimal custom RBAC, homepage ClusterRole reads cluster | | Container | Security contexts, Istio mTLS | Gluetun root+NETADMIN+no mesh, Cilium agent SYSADMIN |

Kubernetes ホームラボの敵対的セキュリティ テスト手法。ネットワークポリシーをカバー 回避、認証バイパス、権限昇格、資格情報の盗難、サプライ チェーン攻撃。 次の場合に使用します: (1) ホームラボに対するレッド チームのテスト、(2) ネットワーク ポリシーの適用の検証、 (3) 外部ゲートウェイでの WAF バイパスのテスト、(4) 認証層の調査、 (5) コンテナーのエスケープ パスの評価、(6) RBAC およびサービス アカウントの監査、 (7) OCI 推進パイプラインのサプライチェーンのセキュリティをテストする。 トリガー: 「セキュリティ テスト」、「レッド チーム」、「ペネトレーション テスト」、「ペネトレーション テスト」、「攻撃対象領域」、 「WAFバイパス」、「ネットワークポリシー回避」、「権限昇格」、「ラテラルムーブメント」、 「資格情報の盗難」、「コンテナエスケープ」、「RBAC監査」、「セキュリティ監査」、「脆弱性」 ソース: ionfury/homelab。