NetworkPolicy do Kubernetes
O que é NetworkPolicy do Kubernetes?
NetworkPolicy do KubernetesNetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.
Uma NetworkPolicy e aplicada pelo plugin CNI do cluster (Calico, Cilium, Antrea, etc.) e seleciona pods alvo por etiqueta. Cada politica lista regras Ingress e Egress com seletores from/to opcionais para pods, namespaces ou CIDRs, alem de porta e protocolo. As politicas sao aditivas dentro do namespace e o default-deny so aplica quando alguma politica seleciona o pod naquela direcao. NetworkPolicy e a firewall este-oeste principal do Kubernetes, usada para microssegmentar, isolar tenants e limitar o raio de impacto apos comprometimento. AdminNetworkPolicy e BaselineAdminNetworkPolicy (1.29+) fornecem regras com escopo de cluster e prioridade para equipas de plataforma.
● Exemplos
- 01
Politica default-deny de ingress num namespace tenant com regras explicitas para o ingress controller.
- 02
Politica Egress que limita pods da aplicacao ao CIDR de uma base de dados gerida e ao DNS do cluster.
● Perguntas frequentes
O que é NetworkPolicy do Kubernetes?
NetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa NetworkPolicy do Kubernetes?
NetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.
Como funciona NetworkPolicy do Kubernetes?
Uma NetworkPolicy e aplicada pelo plugin CNI do cluster (Calico, Cilium, Antrea, etc.) e seleciona pods alvo por etiqueta. Cada politica lista regras Ingress e Egress com seletores from/to opcionais para pods, namespaces ou CIDRs, alem de porta e protocolo. As politicas sao aditivas dentro do namespace e o default-deny so aplica quando alguma politica seleciona o pod naquela direcao. NetworkPolicy e a firewall este-oeste principal do Kubernetes, usada para microssegmentar, isolar tenants e limitar o raio de impacto apos comprometimento. AdminNetworkPolicy e BaselineAdminNetworkPolicy (1.29+) fornecem regras com escopo de cluster e prioridade para equipas de plataforma.
Como se defender contra NetworkPolicy do Kubernetes?
As defesas contra NetworkPolicy do Kubernetes costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para NetworkPolicy do Kubernetes?
Nomes alternativos comuns: NetworkPolicy, K8s netpol, AdminNetworkPolicy.
● Termos relacionados
- cloud-security№ 838
Pod Security Standards
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
- cloud-security№ 597
Admission Controller do Kubernetes
Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
- cloud-security№ 602
Kyverno
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
- cloud-security№ 582
Kata Containers
Kata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
- cloud-security№ 455
gVisor
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.