Kubernetes SecurityContext(s)

PodSecurityContext

From the docs:

Lorsque vous spécifiez le contexte de sécurité d'un Pod, vous pouvez utiliser plusieurs attributs. D'un point de vue de sécurité défensive, vous devriez considérer :

• Avoir runASNonRoot comme True

• Configurer runAsUser

• Si possible, envisager de limiter les permissions en indiquant seLinuxOptions et seccompProfile

• Ne DONNEZ PAS d'accès au groupe de privilèges via runAsGroup et supplementaryGroups

SecurityContext

From the docs:

Ce contexte est défini à l'intérieur des définitions de conteneurs. D'un point de vue de sécurité défensive, vous devriez considérer :

• allowPrivilegeEscalation à False

• Ne pas ajouter de capabilités sensibles (et supprimer celles dont vous n'avez pas besoin)

• privileged à False

• Si possible, définir readOnlyFilesystem comme True

• Définir runAsNonRoot à True et définir un runAsUser

• Si possible, envisager de limiter les permissions en indiquant seLinuxOptions et seccompProfile

• Ne DONNEZ PAS d'accès au groupe de privilèges via runAsGroup.

Notez que les attributs définis dans SecurityContext et PodSecurityContext, la valeur spécifiée dans SecurityContext prend précédence.

References

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core