Kyverno
O que é Kyverno?
KyvernoO Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
O Kyverno e instalado como webhook de admissao e executa ClusterPolicy ou Policy CRs em YAML com regras selector, match, validate, mutate, generate e verifyImages. Como a linguagem segue a estrutura dos objetos Kubernetes, equipas familiarizadas com manifestos escrevem politicas sem precisar aprender Rego. O Kyverno faz tambem verificacao de imagens (Cosign/Notation), scans em segundo plano de recursos existentes, fluxos de excecao e geracao de objetos dependentes (NetworkPolicy, RoleBinding) quando aparecem novos namespaces. E frequentemente usado para aplicar Pod Security Standards, assinatura de imagens, convencoes de labels e atestados de cadeia de fornecimento, competindo com o OPA Gatekeeper.
● Exemplos
- 01
Politica que gera automaticamente uma NetworkPolicy default-deny em cada novo namespace.
- 02
Politica verifyImages que exige assinatura Cosign valida em todas as imagens de contentor.
● Perguntas frequentes
O que é Kyverno?
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Kyverno?
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
Como se defender contra Kyverno?
As defesas contra Kyverno costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Kyverno?
Nomes alternativos comuns: Politica Kyverno, ClusterPolicy.