Infraestructura como Código

Tu archivo terraform.tfstate está commiteado en tu repositorio o almacenado en un lugar sin cifrar y públicamente accesible — contiene cada secreto e ID de recurso en tu infraestructura.

Las credenciales de AWS, GCP o Azure están hardcodeadas en tus archivos .tf en lugar de usar variables de entorno o roles de instancia, commiteando claves de acceso cloud al control de versiones.

Tu pod de Kubernetes corre con securityContext.privileged: true, dándole al contenedor acceso completo al kernel del host y efectivamente evitando el aislamiento del contenedor.

Los pods que corren con la cuenta de servicio predeterminada heredan permisos RBAC a nivel de cluster que generalmente son mucho mas amplios de lo que el workload necesita, permitiendo movimiento lateral si el pod es comprometido.

Contrasenas, API keys y otros secretos estan hardcodeados directamente en archivos values.yaml de Helm, que se commitean al control de versiones y quedan expuestos a cualquiera con acceso al repositorio.

Sin recursos NetworkPolicy, cada pod en el cluster puede comunicarse con todos los demas pods en cualquier puerto, habilitando movimiento lateral sin restricciones despues de que un solo pod sea comprometido.

Los Secrets de Kubernetes se almacenan como texto plano codificado en base64 en etcd por defecto, lo que significa que cualquiera con acceso al datastore etcd o sus respaldos puede leer todos los secretos del cluster.

Sin ejecutar terraform plan en CI o una herramienta de deteccion de drift, los cambios manuales a recursos cloud pasan desapercibidos, creando brechas de seguridad entre tu infraestructura declarada y lo que realmente corre en produccion.