Pentest Kubernetes e Container Security
Pentest em cluster K8s — RBAC, Pod Security, network policy, service account, container escape, supply chain de imagem.
Por que agora
A dor real
K8s adoção explodiu em fintech, SaaS e healthtech BR. Adoção rápida + complexidade enorme + RBAC confuso = produção com kubelet exposto, ServiceAccount com cluster-admin, imagens base com CVE crítica e network policy default-allow.
Frameworks aplicáveis
/superficie-de-ataque
Pentest Kubernetes
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
RBAC e ServiceAccount
Cluster-admin abuse, namespace boundary, default SA com poderes, JWT projetado.
Pod Security e admission
PodSecurityPolicy/PodSecurityAdmission, OPA Gatekeeper, Kyverno bypass, privileged pod.
Network policy
Default-allow, east-west sem segregação, Ingress controller misconfig, service mesh.
Container escape
Capabilities excessivas, hostNetwork, hostPID, volume mount sensível (/, /var/run/docker.sock).
Supply chain de imagem
Imagens base com CVE, secrets em camadas, image signature, registry auth.
Componentes da control plane
etcd exposto, kubelet sem auth, API server público, cloud controller.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Cluster K8s de fintech regulada e SaaS B2B com workload PCI/LGPD.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Pentest Kubernetes
EKS, GKE, AKS — tudo igual?
Não. EKS tem IRSA, GKE tem workload identity, AKS tem managed identity. Cada um com seu vetor próprio. Auditamos cada um com playbook específico.
Cobrem service mesh (Istio/Linkerd)?
Sim. Auditamos mTLS, authorization policy, sidecar injection, control plane.
Faixa de preço?
Cluster pequeno: R$ 15-30k. Multi-cluster: R$ 40-90k. Plataforma K8s com 20+ clusters: R$ 80-200k.
/contato
Cotar pentest Kubernetes
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.