Kyverno
O que é Kyverno?
KyvernoO Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
O Kyverno e instalado como webhook de admissao e executa ClusterPolicy ou Policy CRs em YAML com regras selector, match, validate, mutate, generate e verifyImages. Como a linguagem segue a estrutura dos objetos Kubernetes, equipas familiarizadas com manifestos escrevem politicas sem precisar aprender Rego. O Kyverno faz tambem verificacao de imagens (Cosign/Notation), scans em segundo plano de recursos existentes, fluxos de excecao e geracao de objetos dependentes (NetworkPolicy, RoleBinding) quando aparecem novos namespaces. E frequentemente usado para aplicar Pod Security Standards, assinatura de imagens, convencoes de labels e atestados de cadeia de fornecimento, competindo com o OPA Gatekeeper.
● Exemplos
- 01
Politica que gera automaticamente uma NetworkPolicy default-deny em cada novo namespace.
- 02
Politica verifyImages que exige assinatura Cosign valida em todas as imagens de contentor.
● Perguntas frequentes
O que é Kyverno?
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Kyverno?
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
Como funciona Kyverno?
O Kyverno e instalado como webhook de admissao e executa ClusterPolicy ou Policy CRs em YAML com regras selector, match, validate, mutate, generate e verifyImages. Como a linguagem segue a estrutura dos objetos Kubernetes, equipas familiarizadas com manifestos escrevem politicas sem precisar aprender Rego. O Kyverno faz tambem verificacao de imagens (Cosign/Notation), scans em segundo plano de recursos existentes, fluxos de excecao e geracao de objetos dependentes (NetworkPolicy, RoleBinding) quando aparecem novos namespaces. E frequentemente usado para aplicar Pod Security Standards, assinatura de imagens, convencoes de labels e atestados de cadeia de fornecimento, competindo com o OPA Gatekeeper.
Como se defender contra Kyverno?
As defesas contra Kyverno costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Kyverno?
Nomes alternativos comuns: Politica Kyverno, ClusterPolicy.
● Termos relacionados
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
- cloud-security№ 597
Admission Controller do Kubernetes
Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
- cloud-security№ 838
Pod Security Standards
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
- cloud-security№ 599
NetworkPolicy do Kubernetes
NetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.
- cloud-security№ 582
Kata Containers
Kata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
- cloud-security№ 455
gVisor
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.