Kubernetes SecurityContext(s)
PodSecurityContext
Lorsque vous spécifiez le contexte de sécurité d'un Pod, vous pouvez utiliser plusieurs attributs. D'un point de vue de sécurité défensive, vous devriez considérer :
Avoir runASNonRoot comme True
Configurer runAsUser
Si possible, envisager de limiter les permissions en indiquant seLinuxOptions et seccompProfile
Ne DONNEZ PAS d'accès au groupe de privilèges via runAsGroup et supplementaryGroups
SecurityContext
Ce contexte est défini à l'intérieur des définitions de conteneurs. D'un point de vue de sécurité défensive, vous devriez considérer :
allowPrivilegeEscalation à False
Ne pas ajouter de capabilités sensibles (et supprimer celles dont vous n'avez pas besoin)
privileged à False
Si possible, définir readOnlyFilesystem comme True
Définir runAsNonRoot à True et définir un runAsUser
Si possible, envisager de limiter les permissions en indiquant seLinuxOptions et seccompProfile
Ne DONNEZ PAS d'accès au groupe de privilèges via runAsGroup.
Notez que les attributs définis dans SecurityContext et PodSecurityContext, la valeur spécifiée dans SecurityContext prend précédence.
References
Last updated