Admission Controller do Kubernetes
O que é Admission Controller do Kubernetes?
Admission Controller do KubernetesUm admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
A admissao do Kubernetes tem duas fases: controladores mutating podem alterar o objeto (defaults, injecao de sidecar) e os validating podem aceita-lo ou rejeita-lo. Entre os integrados estao NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security e ImagePolicyWebhook. Externos registam-se como MutatingWebhookConfiguration ou ValidatingWebhookConfiguration, recebem um AdmissionReview em JSON e devolvem um veredito; a ValidatingAdmissionPolicy (1.28+) embute regras CEL na API. A admissao e o principal ponto de aplicacao de politicas de seguranca (PSS, assinatura de imagens, higiene de labels) e o local onde o OPA Gatekeeper e o Kyverno se ligam. Falhas em webhooks podem quebrar o cluster, pelo que failurePolicy e timeouts devem ser cuidadosamente afinados.
● Exemplos
- 01
Um webhook mutating injeta um sidecar do Istio em todos os pods novos de um namespace etiquetado.
- 02
Uma ValidatingAdmissionPolicy rejeita Deployments sem runAsNonRoot.
● Perguntas frequentes
O que é Admission Controller do Kubernetes?
Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Admission Controller do Kubernetes?
Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
Como funciona Admission Controller do Kubernetes?
A admissao do Kubernetes tem duas fases: controladores mutating podem alterar o objeto (defaults, injecao de sidecar) e os validating podem aceita-lo ou rejeita-lo. Entre os integrados estao NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security e ImagePolicyWebhook. Externos registam-se como MutatingWebhookConfiguration ou ValidatingWebhookConfiguration, recebem um AdmissionReview em JSON e devolvem um veredito; a ValidatingAdmissionPolicy (1.28+) embute regras CEL na API. A admissao e o principal ponto de aplicacao de politicas de seguranca (PSS, assinatura de imagens, higiene de labels) e o local onde o OPA Gatekeeper e o Kyverno se ligam. Falhas em webhooks podem quebrar o cluster, pelo que failurePolicy e timeouts devem ser cuidadosamente afinados.
Como se defender contra Admission Controller do Kubernetes?
As defesas contra Admission Controller do Kubernetes costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Admission Controller do Kubernetes?
Nomes alternativos comuns: Admission webhook, ValidatingAdmissionPolicy.
● Termos relacionados
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
- cloud-security№ 602
Kyverno
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
- cloud-security№ 838
Pod Security Standards
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
- cloud-security№ 599
NetworkPolicy do Kubernetes
NetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.
- cloud-security№ 582
Kata Containers
Kata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
- cloud-security№ 455
gVisor
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.