Kyverno
Kyverno とは何ですか?
KyvernoKyverno は CNCF の Kubernetes ポリシエンジンで、新しい DSL を使わずネイティブな YAML で記述したポリシによりリソースの検証・変更・生成を行います。
Kyverno はアドミッション webhook として導入され、YAML で記述された ClusterPolicy または Policy の CR に基づき、selector、match、validate、mutate、generate、verifyImages などのルールを実行します。ポリシ言語が Kubernetes オブジェクトの構造に沿っているため、マニフェストに慣れたチームは Rego を覚えずにルールを書けます。さらにイメージ検証(Cosign/Notation)、既存リソースに対するバックグラウンドスキャン、例外ワークフロー、新規名前空間作成時の依存オブジェクト(NetworkPolicy、RoleBinding)の自動生成にも対応します。Pod Security Standards、イメージ署名、ラベル規約、サプライチェーン証明の強制によく使われ、アドミッションポリシ領域で OPA Gatekeeper と競合します。
● 例
- 01
新しい名前空間ごとに default-deny の NetworkPolicy を自動生成する Kyverno ポリシ。
- 02
verifyImages ポリシがすべてのコンテナイメージに有効な Cosign 署名を要求する。
● よくある質問
Kyverno とは何ですか?
Kyverno は CNCF の Kubernetes ポリシエンジンで、新しい DSL を使わずネイティブな YAML で記述したポリシによりリソースの検証・変更・生成を行います。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
Kyverno とはどういう意味ですか?
Kyverno は CNCF の Kubernetes ポリシエンジンで、新しい DSL を使わずネイティブな YAML で記述したポリシによりリソースの検証・変更・生成を行います。
Kyverno からどのように防御しますか?
Kyverno に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Kyverno の別名は何ですか?
一般的な別名: Kyverno ポリシ, ClusterPolicy。