Kyverno
¿Qué es Kyverno?
KyvernoKyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
Kyverno se instala como webhook de admision y aplica recursos ClusterPolicy o Policy en YAML con reglas selector, match, validate, mutate, generate y verifyImages. Como el lenguaje sigue la estructura de los objetos de Kubernetes, los equipos pueden escribir politicas sin aprender Rego. Kyverno tambien verifica imagenes (Cosign/Notation), realiza escaneos de fondo sobre recursos existentes, gestiona excepciones y genera objetos dependientes (NetworkPolicy, RoleBinding) cuando aparecen nuevos namespaces. Se usa habitualmente para aplicar Pod Security Standards, firma de imagenes, convenciones de etiquetas y atestaciones de cadena de suministro, y compite con OPA Gatekeeper en el espacio de politicas de admision.
● Ejemplos
- 01
Politica que autogenera una NetworkPolicy default-deny en cada nuevo namespace.
- 02
Politica verifyImages que exige que todas las imagenes tengan firma Cosign valida.
● Preguntas frecuentes
¿Qué es Kyverno?
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Kyverno?
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
¿Cómo defenderse de Kyverno?
Las defensas contra Kyverno combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Kyverno?
Nombres alternativos comunes: Kyverno Policy, ClusterPolicy.