Pod Security Standards
O que é Pod Security Standards?
Pod Security StandardsOs Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
Os PSS definem tres perfis cumulativos. Privileged nao impoe limites e destina-se a pods do sistema. Baseline bloqueia escaladas conhecidas como hostNetwork, hostPID, hostPath, contentores privilegiados e capabilities perigosas. Restricted impoe boas praticas de endurecimento: runAsNonRoot, raiz somente leitura, seccomp RuntimeDefault, drop de todas as capabilities exceto NET_BIND_SERVICE e proibicao de namespaces do host ou volumes inseguros. O admission controller Pod Security aplica os perfis por namespace em tres modos: enforce, audit e warn. O PSS substitui o PodSecurityPolicy a montante e e geralmente combinado com OPA Gatekeeper ou Kyverno.
● Exemplos
- 01
Rotular um namespace com pod-security.kubernetes.io/enforce: restricted.
- 02
PSA rejeita um pod que pede CAP_SYS_ADMIN num namespace com baseline em enforce.
● Perguntas frequentes
O que é Pod Security Standards?
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Pod Security Standards?
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
Como funciona Pod Security Standards?
Os PSS definem tres perfis cumulativos. Privileged nao impoe limites e destina-se a pods do sistema. Baseline bloqueia escaladas conhecidas como hostNetwork, hostPID, hostPath, contentores privilegiados e capabilities perigosas. Restricted impoe boas praticas de endurecimento: runAsNonRoot, raiz somente leitura, seccomp RuntimeDefault, drop de todas as capabilities exceto NET_BIND_SERVICE e proibicao de namespaces do host ou volumes inseguros. O admission controller Pod Security aplica os perfis por namespace em tres modos: enforce, audit e warn. O PSS substitui o PodSecurityPolicy a montante e e geralmente combinado com OPA Gatekeeper ou Kyverno.
Como se defender contra Pod Security Standards?
As defesas contra Pod Security Standards costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Pod Security Standards?
Nomes alternativos comuns: PSS, Pod Security Admission, PSA.
● Termos relacionados
- cloud-security№ 597
Admission Controller do Kubernetes
Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
- cloud-security№ 602
Kyverno
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
- cloud-security№ 599
NetworkPolicy do Kubernetes
NetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.
- cloud-security№ 582
Kata Containers
Kata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
- cloud-security№ 455
gVisor
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.