Pod Security Standards
O que é Pod Security Standards?
Pod Security StandardsOs Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
Os PSS definem tres perfis cumulativos. Privileged nao impoe limites e destina-se a pods do sistema. Baseline bloqueia escaladas conhecidas como hostNetwork, hostPID, hostPath, contentores privilegiados e capabilities perigosas. Restricted impoe boas praticas de endurecimento: runAsNonRoot, raiz somente leitura, seccomp RuntimeDefault, drop de todas as capabilities exceto NET_BIND_SERVICE e proibicao de namespaces do host ou volumes inseguros. O admission controller Pod Security aplica os perfis por namespace em tres modos: enforce, audit e warn. O PSS substitui o PodSecurityPolicy a montante e e geralmente combinado com OPA Gatekeeper ou Kyverno.
● Exemplos
- 01
Rotular um namespace com pod-security.kubernetes.io/enforce: restricted.
- 02
PSA rejeita um pod que pede CAP_SYS_ADMIN num namespace com baseline em enforce.
● Perguntas frequentes
O que é Pod Security Standards?
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Pod Security Standards?
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
Como se defender contra Pod Security Standards?
As defesas contra Pod Security Standards costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Pod Security Standards?
Nomes alternativos comuns: PSS, Pod Security Admission, PSA.