Kyverno
Qu'est-ce que Kyverno ?
KyvernoKyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL.
Kyverno se deploie comme webhook d'admission et applique des ClusterPolicy ou Policy en YAML avec des regles selector, match, validate, mutate, generate et verifyImages. Comme le langage de politique reprend la structure des objets Kubernetes, les equipes qui maitrisent les manifestes ecrivent des regles sans apprendre Rego. Kyverno propose aussi la verification d'images (Cosign/Notation), des scans de fond sur les ressources existantes, un flux d'exceptions et la generation d'objets dependants (NetworkPolicy, RoleBinding) lors de la creation d'un namespace. Il sert frequemment a appliquer les Pod Security Standards, la signature d'images, les conventions d'etiquettes et les attestations de chaine d'approvisionnement, en concurrence avec OPA Gatekeeper.
● Exemples
- 01
Politique generant automatiquement une NetworkPolicy default-deny dans chaque nouveau namespace.
- 02
Politique verifyImages exigeant que toutes les images aient une signature Cosign valide.
● Questions fréquentes
Qu'est-ce que Kyverno ?
Kyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Kyverno ?
Kyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL.
Comment fonctionne Kyverno ?
Kyverno se deploie comme webhook d'admission et applique des ClusterPolicy ou Policy en YAML avec des regles selector, match, validate, mutate, generate et verifyImages. Comme le langage de politique reprend la structure des objets Kubernetes, les equipes qui maitrisent les manifestes ecrivent des regles sans apprendre Rego. Kyverno propose aussi la verification d'images (Cosign/Notation), des scans de fond sur les ressources existantes, un flux d'exceptions et la generation d'objets dependants (NetworkPolicy, RoleBinding) lors de la creation d'un namespace. Il sert frequemment a appliquer les Pod Security Standards, la signature d'images, les conventions d'etiquettes et les attestations de chaine d'approvisionnement, en concurrence avec OPA Gatekeeper.
Comment se défendre contre Kyverno ?
Les défenses contre Kyverno combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Kyverno ?
Noms alternatifs courants : Politique Kyverno, ClusterPolicy.
● Termes liés
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes.
- cloud-security№ 597
Admission Controller Kubernetes
Un admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique.
- cloud-security№ 838
Pod Security Standards
Les Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy.
- cloud-security№ 599
NetworkPolicy Kubernetes
NetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole.
- cloud-security№ 582
Kata Containers
Kata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel.
- cloud-security№ 455
gVisor
gVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables.