Kubernetes SecurityContext(s)

PodSecurityContext

Aus den Dokumenten:

Beim Festlegen des Sicherheitskontexts eines Pods kannst du mehrere Attribute verwenden. Aus einer defensiven Sicherheits-Perspektive solltest du Folgendes berücksichtigen:

• runASNonRoot auf True setzen

• runAsUser konfigurieren

• Wenn möglich, Berechtigungen einschränken, indem du seLinuxOptions und seccompProfile angibst

• GIBT NICHT privilegierte Gruppen-Zugriffe über runAsGroup und supplementaryGroups

SecurityContext

Aus den Dokumenten:

Dieser Kontext wird innerhalb der Containerdefinitionen festgelegt. Aus einer defensiven Sicherheits-Perspektive solltest du Folgendes berücksichtigen:

• allowPrivilegeEscalation auf False

• Füge keine sensiblen Capabilities hinzu (und entferne die, die du nicht benötigst)

• privileged auf False

• Wenn möglich, setze readOnlyFilesystem auf True

• Setze runAsNonRoot auf True und setze eine runAsUser

• Wenn möglich, erwäge, Berechtigungen einzuschränken, indem du seLinuxOptions und seccompProfile angibst

• GIBT NICHT privilegierte Gruppen-Zugriffe über runAsGroup.

Beachte, dass die in beiden SecurityContext und PodSecurityContext festgelegten Attribute, der in SecurityContext angegebene Wert Vorrang hat.

References

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core