Kubernetes SecurityContext(s)
PodSecurityContext
Al especificar el contexto de seguridad de un Pod, puedes usar varios atributos. Desde un punto de vista de seguridad defensiva, deberías considerar:
Tener runASNonRoot como True
Configurar runAsUser
Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile
No dar acceso de grupo de privilegios a través de runAsGroup y supplementaryGroups
SecurityContext
Este contexto se establece dentro de las definiciones de contenedores. Desde un punto de vista de seguridad defensiva, deberías considerar:
allowPrivilegeEscalation como False
No agregar capacidades sensibles (y eliminar las que no necesites)
privileged como False
Si es posible, establece readOnlyFilesystem como True
Establece runAsNonRoot como True y establece un runAsUser
Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile
No dar acceso de grupo de privilegios a través de runAsGroup.
Ten en cuenta que los atributos establecidos en tanto SecurityContext como PodSecurityContext, el valor especificado en SecurityContext tiene precedencia.
References
Last updated