Kyverno
Was ist Kyverno?
KyvernoKyverno ist eine CNCF-Kubernetes-Policy-Engine, die Ressourcen ueber in nativem YAML formulierte Policies validiert, mutiert und erzeugt, statt eine neue DSL einzufuehren.
Kyverno wird als Admission Webhook installiert und fuehrt ClusterPolicy- oder Policy-CRs in YAML aus, mit den Regeltypen selector, match, validate, mutate, generate und verifyImages. Da die Policy-Sprache die Struktur von Kubernetes-Objekten widerspiegelt, koennen Teams ohne Rego-Kenntnisse Regeln schreiben. Zusaetzlich uebernimmt Kyverno Image-Verifikation (Cosign/Notation), Background-Scans existierender Ressourcen, Exception-Workflows und das Generieren abhaengiger Objekte (NetworkPolicy, RoleBinding) beim Anlegen neuer Namespaces. Es wird typischerweise zur Durchsetzung von Pod Security Standards, Image-Signing, Label-Konventionen und Supply-Chain-Attestations eingesetzt und konkurriert mit OPA Gatekeeper.
● Beispiele
- 01
Policy, die in jedem neuen Namespace automatisch eine Default-Deny-NetworkPolicy erzeugt.
- 02
verifyImages-Policy verlangt eine gueltige Cosign-Signatur fuer alle Container-Images.
● Häufige Fragen
Was ist Kyverno?
Kyverno ist eine CNCF-Kubernetes-Policy-Engine, die Ressourcen ueber in nativem YAML formulierte Policies validiert, mutiert und erzeugt, statt eine neue DSL einzufuehren. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Kyverno?
Kyverno ist eine CNCF-Kubernetes-Policy-Engine, die Ressourcen ueber in nativem YAML formulierte Policies validiert, mutiert und erzeugt, statt eine neue DSL einzufuehren.
Wie funktioniert Kyverno?
Kyverno wird als Admission Webhook installiert und fuehrt ClusterPolicy- oder Policy-CRs in YAML aus, mit den Regeltypen selector, match, validate, mutate, generate und verifyImages. Da die Policy-Sprache die Struktur von Kubernetes-Objekten widerspiegelt, koennen Teams ohne Rego-Kenntnisse Regeln schreiben. Zusaetzlich uebernimmt Kyverno Image-Verifikation (Cosign/Notation), Background-Scans existierender Ressourcen, Exception-Workflows und das Generieren abhaengiger Objekte (NetworkPolicy, RoleBinding) beim Anlegen neuer Namespaces. Es wird typischerweise zur Durchsetzung von Pod Security Standards, Image-Signing, Label-Konventionen und Supply-Chain-Attestations eingesetzt und konkurriert mit OPA Gatekeeper.
Wie schützt man sich gegen Kyverno?
Schutzmaßnahmen gegen Kyverno kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Kyverno?
Übliche alternative Bezeichnungen: Kyverno-Policy, ClusterPolicy.
● Verwandte Begriffe
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper ist ein CNCF-Policy-Controller, der Open Policy Agent und die Sprache Rego nutzt, um Admission- und Audit-Policies fuer Kubernetes-Ressourcen durchzusetzen.
- cloud-security№ 597
Kubernetes Admission Controller
Ein Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt.
- cloud-security№ 838
Pod Security Standards
Pod Security Standards (PSS) sind von Kubernetes definierte Sicherheitsprofile — Privileged, Baseline und Restricted — die sichere Pod-Konfiguration kodifizieren und das veraltete PodSecurityPolicy ersetzen.
- cloud-security№ 599
Kubernetes NetworkPolicy
Eine Kubernetes-NetworkPolicy ist eine namespaced Ressource, die anhand von IP, Port und Protokoll regelt, welche Pods sich mit welchen Pods oder externen Zielen verbinden duerfen.
- cloud-security№ 582
Kata Containers
Kata Containers ist eine Open-Source-Runtime, die jeden Container oder Kubernetes-Pod in eine leichtgewichtige virtuelle Maschine kapselt und damit Isolation auf Hardware-Ebene bietet.
- cloud-security№ 455
gVisor
gVisor ist ein Open-Source-Application-Kernel von Google, der Container-Syscalls im User-Space abfaengt und damit die Host-Kernel-Angriffsflaeche fuer untrusted Workloads drastisch verkleinert.