Kubernetes SecurityContext(s)

PodSecurityContext

来自文档：

在指定 Pod 的安全上下文时，可以使用多个属性。从防御安全的角度来看，您应该考虑：

• 将 runASNonRoot 设置为 True

• 配置 runAsUser

• 如果可能，考虑 限制 权限，指明 seLinuxOptions 和 seccompProfile

• 不要 通过 runAsGroup 和 supplementaryGroups 提供 特权 组 访问

SecurityContext

来自文档：

此上下文设置在 容器定义 内。从防御安全的角度来看，您应该考虑：

• allowPrivilegeEscalation 设置为 False

• 不要添加敏感的 能力（并删除不需要的能力）

• privileged 设置为 False

• 如果可能，将 readOnlyFilesystem 设置为 True

• 将 runAsNonRoot 设置为 True 并设置 runAsUser

• 如果可能，考虑 限制 权限，指明 seLinuxOptions 和 seccompProfile

• 不要 通过 runAsGroup 提供 特权 组 访问。

请注意，在 SecurityContext 和 PodSecurityContext 中设置的属性，SecurityContext 中指定的值具有 优先权。

References

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core