Kyverno
¿Qué es Kyverno?
KyvernoKyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
Kyverno se instala como webhook de admision y aplica recursos ClusterPolicy o Policy en YAML con reglas selector, match, validate, mutate, generate y verifyImages. Como el lenguaje sigue la estructura de los objetos de Kubernetes, los equipos pueden escribir politicas sin aprender Rego. Kyverno tambien verifica imagenes (Cosign/Notation), realiza escaneos de fondo sobre recursos existentes, gestiona excepciones y genera objetos dependientes (NetworkPolicy, RoleBinding) cuando aparecen nuevos namespaces. Se usa habitualmente para aplicar Pod Security Standards, firma de imagenes, convenciones de etiquetas y atestaciones de cadena de suministro, y compite con OPA Gatekeeper en el espacio de politicas de admision.
● Ejemplos
- 01
Politica que autogenera una NetworkPolicy default-deny en cada nuevo namespace.
- 02
Politica verifyImages que exige que todas las imagenes tengan firma Cosign valida.
● Preguntas frecuentes
¿Qué es Kyverno?
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Kyverno?
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
¿Cómo funciona Kyverno?
Kyverno se instala como webhook de admision y aplica recursos ClusterPolicy o Policy en YAML con reglas selector, match, validate, mutate, generate y verifyImages. Como el lenguaje sigue la estructura de los objetos de Kubernetes, los equipos pueden escribir politicas sin aprender Rego. Kyverno tambien verifica imagenes (Cosign/Notation), realiza escaneos de fondo sobre recursos existentes, gestiona excepciones y genera objetos dependientes (NetworkPolicy, RoleBinding) cuando aparecen nuevos namespaces. Se usa habitualmente para aplicar Pod Security Standards, firma de imagenes, convenciones de etiquetas y atestaciones de cadena de suministro, y compite con OPA Gatekeeper en el espacio de politicas de admision.
¿Cómo defenderse de Kyverno?
Las defensas contra Kyverno combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Kyverno?
Nombres alternativos comunes: Kyverno Policy, ClusterPolicy.
● Términos relacionados
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes.
- cloud-security№ 597
Admission Controller de Kubernetes
Un admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas.
- cloud-security№ 838
Pod Security Standards
Los Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy.
- cloud-security№ 599
Kubernetes NetworkPolicy
NetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo.
- cloud-security№ 582
Kata Containers
Kata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware.
- cloud-security№ 455
gVisor
gVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host.