Kubernetes SecurityContext(s)

PodSecurityContext

ドキュメントから：

Podのセキュリティコンテキストを指定する際に、いくつかの属性を使用できます。防御的なセキュリティの観点から考慮すべきこと：

• runASNonRootをTrueに設定する

• runAsUserを設定する

• 可能であれば、seLinuxOptionsおよびseccompProfileを指定して権限を制限することを検討する

• runAsGroupおよびsupplementaryGroupsを介して特権のグループアクセスを与えない

SecurityContext

ドキュメントから：

このコンテキストはコンテナ定義内に設定されます。防御的なセキュリティの観点から考慮すべきこと：

• allowPrivilegeEscalationをFalseに設定する

• 機密のcapabilitiesを追加せず（不要なものは削除する）

• privilegedをFalseに設定する

• 可能であれば、readOnlyFilesystemをTrueに設定する

• runAsNonRootをTrueに設定し、runAsUserを設定する

• 可能であれば、seLinuxOptionsおよびseccompProfileを指定して権限を制限することを検討する

• runAsGroupを介して特権のグループアクセスを与えない。

SecurityContextとPodSecurityContextの両方に設定された属性に注意してください。SecurityContextで指定された値が優先されます。

References

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core