Kubernetes SecurityContext(s)

PodSecurityContext

Dalla documentazione:

Quando si specifica il contesto di sicurezza di un Pod, è possibile utilizzare diversi attributi. Da un punto di vista della sicurezza difensiva, dovresti considerare:

• Avere runASNonRoot come True

• Configurare runAsUser

• Se possibile, considera di limitare le permissive indicando seLinuxOptions e seccompProfile

• Non dare accesso al privilege group tramite runAsGroup e supplementaryGroups

SecurityContext

Dalla documentazione:

Questo contesto è impostato all'interno delle definizioni dei container. Da un punto di vista della sicurezza difensiva, dovresti considerare:

• allowPrivilegeEscalation a False

• Non aggiungere capabilities sensibili (e rimuovere quelle di cui non hai bisogno)

• privileged a False

• Se possibile, impostare readOnlyFilesystem come True

• Impostare runAsNonRoot a True e impostare un runAsUser

• Se possibile, considera di limitare le permissive indicando seLinuxOptions e seccompProfile

• Non dare accesso al privilege group tramite runAsGroup.

Nota che gli attributi impostati in entrambi SecurityContext e PodSecurityContext, il valore specificato in SecurityContext ha precedenza.

Riferimenti

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core