Kubernetes SecurityContext(s)
PodSecurityContext
在指定 Pod 的安全上下文时,可以使用多个属性。从防御安全的角度来看,您应该考虑:
将 runASNonRoot 设置为 True
配置 runAsUser
如果可能,考虑 限制 权限,指明 seLinuxOptions 和 seccompProfile
不要 通过 runAsGroup 和 supplementaryGroups 提供 特权 组 访问
SecurityContext
此上下文设置在 容器定义 内。从防御安全的角度来看,您应该考虑:
allowPrivilegeEscalation 设置为 False
不要添加敏感的 能力(并删除不需要的能力)
privileged 设置为 False
如果可能,将 readOnlyFilesystem 设置为 True
将 runAsNonRoot 设置为 True 并设置 runAsUser
如果可能,考虑 限制 权限,指明 seLinuxOptions 和 seccompProfile
不要 通过 runAsGroup 提供 特权 组 访问。
请注意,在 SecurityContext 和 PodSecurityContext 中设置的属性,SecurityContext 中指定的值具有 优先权。
References
Last updated