Pod Security Standards
Was ist Pod Security Standards?
Pod Security StandardsPod Security Standards (PSS) sind von Kubernetes definierte Sicherheitsprofile — Privileged, Baseline und Restricted — die sichere Pod-Konfiguration kodifizieren und das veraltete PodSecurityPolicy ersetzen.
PSS definiert drei kumulative Profile. Privileged ist unbeschraenkt und nur fuer System-Pods gedacht. Baseline blockiert bekannte Eskalationspfade wie hostNetwork, hostPID, hostPath, privilegierte Container und gefaehrliche Capabilities. Restricted erzwingt Best Practices: runAsNonRoot, schreibgeschuetztes Root-FS, seccomp RuntimeDefault, Drop aller Capabilities ausser NET_BIND_SERVICE, keine Host-Namespaces oder unsicheren Volumes. Der Pod Security Admission Controller wendet die Profile pro Namespace in drei Modi an: enforce, audit, warn. PSS ist die Upstream-Nachfolge der PodSecurityPolicy und wird oft mit OPA Gatekeeper oder Kyverno kombiniert.
● Beispiele
- 01
Namespace mit pod-security.kubernetes.io/enforce: restricted labeln.
- 02
PSA lehnt im baseline-enforce-Namespace einen Pod mit CAP_SYS_ADMIN ab.
● Häufige Fragen
Was ist Pod Security Standards?
Pod Security Standards (PSS) sind von Kubernetes definierte Sicherheitsprofile — Privileged, Baseline und Restricted — die sichere Pod-Konfiguration kodifizieren und das veraltete PodSecurityPolicy ersetzen. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Pod Security Standards?
Pod Security Standards (PSS) sind von Kubernetes definierte Sicherheitsprofile — Privileged, Baseline und Restricted — die sichere Pod-Konfiguration kodifizieren und das veraltete PodSecurityPolicy ersetzen.
Wie funktioniert Pod Security Standards?
PSS definiert drei kumulative Profile. Privileged ist unbeschraenkt und nur fuer System-Pods gedacht. Baseline blockiert bekannte Eskalationspfade wie hostNetwork, hostPID, hostPath, privilegierte Container und gefaehrliche Capabilities. Restricted erzwingt Best Practices: runAsNonRoot, schreibgeschuetztes Root-FS, seccomp RuntimeDefault, Drop aller Capabilities ausser NET_BIND_SERVICE, keine Host-Namespaces oder unsicheren Volumes. Der Pod Security Admission Controller wendet die Profile pro Namespace in drei Modi an: enforce, audit, warn. PSS ist die Upstream-Nachfolge der PodSecurityPolicy und wird oft mit OPA Gatekeeper oder Kyverno kombiniert.
Wie schützt man sich gegen Pod Security Standards?
Schutzmaßnahmen gegen Pod Security Standards kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Pod Security Standards?
Übliche alternative Bezeichnungen: PSS, Pod Security Admission, PSA.
● Verwandte Begriffe
- cloud-security№ 597
Kubernetes Admission Controller
Ein Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper ist ein CNCF-Policy-Controller, der Open Policy Agent und die Sprache Rego nutzt, um Admission- und Audit-Policies fuer Kubernetes-Ressourcen durchzusetzen.
- cloud-security№ 602
Kyverno
Kyverno ist eine CNCF-Kubernetes-Policy-Engine, die Ressourcen ueber in nativem YAML formulierte Policies validiert, mutiert und erzeugt, statt eine neue DSL einzufuehren.
- cloud-security№ 599
Kubernetes NetworkPolicy
Eine Kubernetes-NetworkPolicy ist eine namespaced Ressource, die anhand von IP, Port und Protokoll regelt, welche Pods sich mit welchen Pods oder externen Zielen verbinden duerfen.
- cloud-security№ 582
Kata Containers
Kata Containers ist eine Open-Source-Runtime, die jeden Container oder Kubernetes-Pod in eine leichtgewichtige virtuelle Maschine kapselt und damit Isolation auf Hardware-Ebene bietet.
- cloud-security№ 455
gVisor
gVisor ist ein Open-Source-Application-Kernel von Google, der Container-Syscalls im User-Space abfaengt und damit die Host-Kernel-Angriffsflaeche fuer untrusted Workloads drastisch verkleinert.