Kubernetes SecurityContext(s)
PodSecurityContext
Bir Pod'un güvenlik bağlamını belirtirken birkaç özniteliği kullanabilirsiniz. Savunma amaçlı güvenlik açısından aşağıdakileri göz önünde bulundurmalısınız:
runASNonRoot'u True olarak ayarlamak
runAsUser'ı yapılandırmak
Mümkünse, seLinuxOptions ve seccompProfile ile izinleri sınırlamak
runAsGroup ve supplementaryGroups aracılığıyla ayrıcalık grubu erişimini VERMEMEK
Bu bağlam, konteyner tanımları içinde ayarlanır. Savunma odaklı bir güvenlik açısından aşağıdaki hususları göz önünde bulundurmalısınız:
allowPrivilegeEscalation'ı False olarak ayarlayın
Hassas yetenekleri eklemeyin (ve ihtiyaç duymadıklarınızı kaldırın)
privileged'ı False olarak ayarlayın
Mümkünse, readOnlyFilesystem'i True olarak ayarlayın
runAsNonRoot'u True olarak ayarlayın ve bir runAsUser belirleyin
Mümkünse, seLinuxOptions ve seccompProfile'ı belirterek izinleri sınırlayın
runAsGroup üzerinden privilege group erişimini VERMEYİN.
Unutmayın ki, SecurityContext ve PodSecurityContext içinde ayarlanan özelliklerde, SecurityContext'te belirtilen değer önceliklidir.
Referanslar
Last updated