Pod Security Standards
¿Qué es Pod Security Standards?
Pod Security StandardsLos Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy.
PSS define tres perfiles acumulativos. Privileged no impone restricciones y solo deberia usarse para pods del sistema. Baseline bloquea las escaladas mas conocidas como hostNetwork, hostPID, hostPath, contenedores privilegiados y capabilities peligrosas. Restricted exige buenas practicas de endurecimiento: runAsNonRoot, sistema de ficheros raiz de solo lectura, seccomp RuntimeDefault, dropping de todas las capabilities salvo NET_BIND_SERVICE y prohibir namespaces de host o volumenes inseguros. El admission controller Pod Security aplica estos perfiles por namespace en tres modos: enforce, audit y warn. PSS reemplaza upstream a PodSecurityPolicy y suele combinarse con OPA Gatekeeper o Kyverno.
● Ejemplos
- 01
Etiquetar un namespace con pod-security.kubernetes.io/enforce: restricted.
- 02
PSA rechaza un pod que pide CAP_SYS_ADMIN en un namespace con baseline en enforce.
● Preguntas frecuentes
¿Qué es Pod Security Standards?
Los Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Pod Security Standards?
Los Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy.
¿Cómo funciona Pod Security Standards?
PSS define tres perfiles acumulativos. Privileged no impone restricciones y solo deberia usarse para pods del sistema. Baseline bloquea las escaladas mas conocidas como hostNetwork, hostPID, hostPath, contenedores privilegiados y capabilities peligrosas. Restricted exige buenas practicas de endurecimiento: runAsNonRoot, sistema de ficheros raiz de solo lectura, seccomp RuntimeDefault, dropping de todas las capabilities salvo NET_BIND_SERVICE y prohibir namespaces de host o volumenes inseguros. El admission controller Pod Security aplica estos perfiles por namespace en tres modos: enforce, audit y warn. PSS reemplaza upstream a PodSecurityPolicy y suele combinarse con OPA Gatekeeper o Kyverno.
¿Cómo defenderse de Pod Security Standards?
Las defensas contra Pod Security Standards combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Pod Security Standards?
Nombres alternativos comunes: PSS, Pod Security Admission, PSA.
● Términos relacionados
- cloud-security№ 597
Admission Controller de Kubernetes
Un admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
- cloud-security№ 599
Kubernetes NetworkPolicy
NetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo.
- cloud-security№ 582
Kata Containers
Kata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware.
- cloud-security№ 455
gVisor
gVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host.