Kubernetes SecurityContext(s)

PodSecurityContext

From the docs:

Al especificar el contexto de seguridad de un Pod, puedes usar varios atributos. Desde un punto de vista de seguridad defensiva, deberías considerar:

• Tener runASNonRoot como True

• Configurar runAsUser

• Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile

• No dar acceso de grupo de privilegios a través de runAsGroup y supplementaryGroups

SecurityContext

From the docs:

Este contexto se establece dentro de las definiciones de contenedores. Desde un punto de vista de seguridad defensiva, deberías considerar:

• allowPrivilegeEscalation como False

• No agregar capacidades sensibles (y eliminar las que no necesites)

• privileged como False

• Si es posible, establece readOnlyFilesystem como True

• Establece runAsNonRoot como True y establece un runAsUser

• Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile

• No dar acceso de grupo de privilegios a través de runAsGroup.

Ten en cuenta que los atributos establecidos en tanto SecurityContext como PodSecurityContext, el valor especificado en SecurityContext tiene precedencia.

References

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core