Pod Security Standards
Qu'est-ce que Pod Security Standards ?
Pod Security StandardsLes Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy.
Les PSS definissent trois profils cumulatifs. Privileged n'impose aucune restriction et ne doit servir qu'aux pods systeme. Baseline bloque les escalades connues comme hostNetwork, hostPID, hostPath, conteneurs privilegies et capacites dangereuses. Restricted impose les bonnes pratiques de durcissement : runAsNonRoot, racine en lecture seule, seccomp RuntimeDefault, drop de toutes les capacites sauf NET_BIND_SERVICE et interdiction des namespaces hote ou volumes risques. L'admission controller Pod Security applique ces profils par namespace en trois modes : enforce, audit et warn. PSS remplace upstream PodSecurityPolicy et se combine en general avec OPA Gatekeeper ou Kyverno.
● Exemples
- 01
Etiqueter un namespace avec pod-security.kubernetes.io/enforce: restricted.
- 02
PSA rejette un pod demandant CAP_SYS_ADMIN dans un namespace baseline en enforce.
● Questions fréquentes
Qu'est-ce que Pod Security Standards ?
Les Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Pod Security Standards ?
Les Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy.
Comment fonctionne Pod Security Standards ?
Les PSS definissent trois profils cumulatifs. Privileged n'impose aucune restriction et ne doit servir qu'aux pods systeme. Baseline bloque les escalades connues comme hostNetwork, hostPID, hostPath, conteneurs privilegies et capacites dangereuses. Restricted impose les bonnes pratiques de durcissement : runAsNonRoot, racine en lecture seule, seccomp RuntimeDefault, drop de toutes les capacites sauf NET_BIND_SERVICE et interdiction des namespaces hote ou volumes risques. L'admission controller Pod Security applique ces profils par namespace en trois modes : enforce, audit et warn. PSS remplace upstream PodSecurityPolicy et se combine en general avec OPA Gatekeeper ou Kyverno.
Comment se défendre contre Pod Security Standards ?
Les défenses contre Pod Security Standards combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Pod Security Standards ?
Noms alternatifs courants : PSS, Pod Security Admission, PSA.
● Termes liés
- cloud-security№ 597
Admission Controller Kubernetes
Un admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL.
- cloud-security№ 599
NetworkPolicy Kubernetes
NetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole.
- cloud-security№ 582
Kata Containers
Kata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel.
- cloud-security№ 455
gVisor
gVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables.