NetworkPolicy Kubernetes
Qu'est-ce que NetworkPolicy Kubernetes ?
NetworkPolicy KubernetesNetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole.
Une NetworkPolicy est appliquee par le plugin CNI du cluster (Calico, Cilium, Antrea, etc.) et selectionne les pods cibles par etiquette. Chaque politique liste des regles Ingress et Egress avec des selecteurs from/to optionnels pour pods, namespaces ou CIDR, ainsi que port et protocole. Les politiques s'ajoutent dans un namespace et le default-deny ne s'applique que lorsqu'une politique cible le pod dans cette direction. La NetworkPolicy est le firewall est-ouest principal de Kubernetes ; on l'utilise pour micro-segmenter, isoler des tenants et limiter le rayon d'impact apres compromission. AdminNetworkPolicy et BaselineAdminNetworkPolicy (depuis 1.29) offrent des regles cluster-scoped et priorisees pour les equipes plate-forme.
● Exemples
- 01
Politique default-deny ingress dans un namespace tenant avec regles explicites pour l'ingress controller.
- 02
Politique Egress restreignant les pods de l'application a un CIDR de base de donnees geree et au DNS du cluster.
● Questions fréquentes
Qu'est-ce que NetworkPolicy Kubernetes ?
NetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie NetworkPolicy Kubernetes ?
NetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole.
Comment fonctionne NetworkPolicy Kubernetes ?
Une NetworkPolicy est appliquee par le plugin CNI du cluster (Calico, Cilium, Antrea, etc.) et selectionne les pods cibles par etiquette. Chaque politique liste des regles Ingress et Egress avec des selecteurs from/to optionnels pour pods, namespaces ou CIDR, ainsi que port et protocole. Les politiques s'ajoutent dans un namespace et le default-deny ne s'applique que lorsqu'une politique cible le pod dans cette direction. La NetworkPolicy est le firewall est-ouest principal de Kubernetes ; on l'utilise pour micro-segmenter, isoler des tenants et limiter le rayon d'impact apres compromission. AdminNetworkPolicy et BaselineAdminNetworkPolicy (depuis 1.29) offrent des regles cluster-scoped et priorisees pour les equipes plate-forme.
Comment se défendre contre NetworkPolicy Kubernetes ?
Les défenses contre NetworkPolicy Kubernetes combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de NetworkPolicy Kubernetes ?
Noms alternatifs courants : NetworkPolicy, K8s netpol, AdminNetworkPolicy.
● Termes liés
- cloud-security№ 838
Pod Security Standards
Les Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy.
- cloud-security№ 597
Admission Controller Kubernetes
Un admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL.
- cloud-security№ 582
Kata Containers
Kata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel.
- cloud-security№ 455
gVisor
gVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables.