Kubernetes NetworkPolicy
Was ist Kubernetes NetworkPolicy?
Kubernetes NetworkPolicyEine Kubernetes-NetworkPolicy ist eine namespaced Ressource, die anhand von IP, Port und Protokoll regelt, welche Pods sich mit welchen Pods oder externen Zielen verbinden duerfen.
Die NetworkPolicy wird vom CNI-Plugin des Clusters (Calico, Cilium, Antrea usw.) durchgesetzt und wahlt Ziel-Pods per Label aus. Jede Policy listet Ingress- und Egress-Regeln mit optionalen from/to-Selektoren fuer Pods, Namespaces oder CIDRs sowie Port und Protokoll. Policies sind im Namespace additiv; Default-Deny wirkt erst, sobald irgendeine Policy einen Pod in dieser Richtung trifft. NetworkPolicy ist die primaere East-West-Firewall in Kubernetes und wird fuer Mikrosegmentierung, Mandantentrennung und Begrenzung der Auswirkungen nach einer Pod-Kompromittierung genutzt. AdminNetworkPolicy und BaselineAdminNetworkPolicy (ab 1.29) bieten cluster-weite, priorisierte Regeln fuer Plattformteams.
● Beispiele
- 01
Default-deny-Ingress in einem Tenant-Namespace, kombiniert mit expliziten Allows fuer den Ingress-Controller.
- 02
Egress-Policy beschraenkt App-Pods auf den CIDR einer Managed-DB und den Cluster-DNS-Service.
● Häufige Fragen
Was ist Kubernetes NetworkPolicy?
Eine Kubernetes-NetworkPolicy ist eine namespaced Ressource, die anhand von IP, Port und Protokoll regelt, welche Pods sich mit welchen Pods oder externen Zielen verbinden duerfen. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Kubernetes NetworkPolicy?
Eine Kubernetes-NetworkPolicy ist eine namespaced Ressource, die anhand von IP, Port und Protokoll regelt, welche Pods sich mit welchen Pods oder externen Zielen verbinden duerfen.
Wie funktioniert Kubernetes NetworkPolicy?
Die NetworkPolicy wird vom CNI-Plugin des Clusters (Calico, Cilium, Antrea usw.) durchgesetzt und wahlt Ziel-Pods per Label aus. Jede Policy listet Ingress- und Egress-Regeln mit optionalen from/to-Selektoren fuer Pods, Namespaces oder CIDRs sowie Port und Protokoll. Policies sind im Namespace additiv; Default-Deny wirkt erst, sobald irgendeine Policy einen Pod in dieser Richtung trifft. NetworkPolicy ist die primaere East-West-Firewall in Kubernetes und wird fuer Mikrosegmentierung, Mandantentrennung und Begrenzung der Auswirkungen nach einer Pod-Kompromittierung genutzt. AdminNetworkPolicy und BaselineAdminNetworkPolicy (ab 1.29) bieten cluster-weite, priorisierte Regeln fuer Plattformteams.
Wie schützt man sich gegen Kubernetes NetworkPolicy?
Schutzmaßnahmen gegen Kubernetes NetworkPolicy kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Kubernetes NetworkPolicy?
Übliche alternative Bezeichnungen: NetworkPolicy, K8s netpol, AdminNetworkPolicy.
● Verwandte Begriffe
- cloud-security№ 838
Pod Security Standards
Pod Security Standards (PSS) sind von Kubernetes definierte Sicherheitsprofile — Privileged, Baseline und Restricted — die sichere Pod-Konfiguration kodifizieren und das veraltete PodSecurityPolicy ersetzen.
- cloud-security№ 597
Kubernetes Admission Controller
Ein Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper ist ein CNCF-Policy-Controller, der Open Policy Agent und die Sprache Rego nutzt, um Admission- und Audit-Policies fuer Kubernetes-Ressourcen durchzusetzen.
- cloud-security№ 602
Kyverno
Kyverno ist eine CNCF-Kubernetes-Policy-Engine, die Ressourcen ueber in nativem YAML formulierte Policies validiert, mutiert und erzeugt, statt eine neue DSL einzufuehren.
- cloud-security№ 582
Kata Containers
Kata Containers ist eine Open-Source-Runtime, die jeden Container oder Kubernetes-Pod in eine leichtgewichtige virtuelle Maschine kapselt und damit Isolation auf Hardware-Ebene bietet.
- cloud-security№ 455
gVisor
gVisor ist ein Open-Source-Application-Kernel von Google, der Container-Syscalls im User-Space abfaengt und damit die Host-Kernel-Angriffsflaeche fuer untrusted Workloads drastisch verkleinert.