PodSecurityContext

Dokümantasyondan:

Bir Pod'un güvenlik bağlamını belirtirken birkaç özniteliği kullanabilirsiniz. Savunma amaçlı güvenlik açısından aşağıdakileri göz önünde bulundurmalısınız:

• runASNonRoot'u True olarak ayarlamak

• runAsUser'ı yapılandırmak

• Mümkünse, seLinuxOptions ve seccompProfile ile izinleri sınırlamak

• runAsGroup ve supplementaryGroups aracılığıyla ayrıcalık grubu erişimini VERMEMEK

Dokümantasyondan:

Bu bağlam, konteyner tanımları içinde ayarlanır. Savunma odaklı bir güvenlik açısından aşağıdaki hususları göz önünde bulundurmalısınız:

• allowPrivilegeEscalation'ı False olarak ayarlayın

• Hassas yetenekleri eklemeyin (ve ihtiyaç duymadıklarınızı kaldırın)

• privileged'ı False olarak ayarlayın

• Mümkünse, readOnlyFilesystem'i True olarak ayarlayın

• runAsNonRoot'u True olarak ayarlayın ve bir runAsUser belirleyin

• Mümkünse, seLinuxOptions ve seccompProfile'ı belirterek izinleri sınırlayın

• runAsGroup üzerinden privilege group erişimini VERMEYİN.

Unutmayın ki, SecurityContext ve PodSecurityContext içinde ayarlanan özelliklerde, SecurityContext'te belirtilen değer önceliklidir.

Referanslar

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core

• https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core