Kubernetes NetworkPolicy
¿Qué es Kubernetes NetworkPolicy?
Kubernetes NetworkPolicyNetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo.
Una NetworkPolicy la aplica el plugin CNI del cluster (Calico, Cilium, Antrea, etc.) y selecciona los pods objetivo por etiqueta. Cada politica enumera reglas Ingress y Egress con selectores opcionales from/to por pod, namespace o CIDR, ademas de puerto y protocolo. Las politicas son aditivas dentro del namespace y el default-deny solo aplica cuando alguna politica selecciona el pod en esa direccion. NetworkPolicy es el firewall principal este-oeste en Kubernetes y se usa para microsegmentar, aislar tenants y limitar el radio de impacto tras un compromiso. AdminNetworkPolicy y BaselineAdminNetworkPolicy (1.29+) anaden reglas cluster-scoped y priorizadas para equipos de plataforma.
● Ejemplos
- 01
Politica default-deny de ingress en el namespace de un tenant con reglas explicitas para el ingress controller.
- 02
Politica Egress que limita los pods de la aplicacion a un CIDR de base de datos gestionada y al DNS del cluster.
● Preguntas frecuentes
¿Qué es Kubernetes NetworkPolicy?
NetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Kubernetes NetworkPolicy?
NetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo.
¿Cómo funciona Kubernetes NetworkPolicy?
Una NetworkPolicy la aplica el plugin CNI del cluster (Calico, Cilium, Antrea, etc.) y selecciona los pods objetivo por etiqueta. Cada politica enumera reglas Ingress y Egress con selectores opcionales from/to por pod, namespace o CIDR, ademas de puerto y protocolo. Las politicas son aditivas dentro del namespace y el default-deny solo aplica cuando alguna politica selecciona el pod en esa direccion. NetworkPolicy es el firewall principal este-oeste en Kubernetes y se usa para microsegmentar, aislar tenants y limitar el radio de impacto tras un compromiso. AdminNetworkPolicy y BaselineAdminNetworkPolicy (1.29+) anaden reglas cluster-scoped y priorizadas para equipos de plataforma.
¿Cómo defenderse de Kubernetes NetworkPolicy?
Las defensas contra Kubernetes NetworkPolicy combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Kubernetes NetworkPolicy?
Nombres alternativos comunes: NetworkPolicy, K8s netpol, AdminNetworkPolicy.
● Términos relacionados
- cloud-security№ 838
Pod Security Standards
Los Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy.
- cloud-security№ 597
Admission Controller de Kubernetes
Un admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
- cloud-security№ 582
Kata Containers
Kata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware.
- cloud-security№ 455
gVisor
gVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host.