Kyverno
Что такое Kyverno?
KyvernoKyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
Kyverno устанавливается как admission webhook и выполняет CR-объекты ClusterPolicy или Policy в YAML с правилами selector, match, validate, mutate, generate и verifyImages. Так как язык политик повторяет структуру объектов Kubernetes, командам, знакомым с манифестами, не нужно изучать Rego. Kyverno также проверяет подписи образов (Cosign/Notation), сканирует существующие ресурсы в фоне, поддерживает исключения и автоматически создаёт зависимые объекты (NetworkPolicy, RoleBinding) при появлении нового namespace. Его часто используют для применения Pod Security Standards, подписи образов, регламентов меток и аттестаций цепочки поставок; он конкурирует с OPA Gatekeeper в области admission-политик.
● Примеры
- 01
Политика, автоматически создающая default-deny NetworkPolicy в каждом новом namespace.
- 02
Политика verifyImages требует валидную подпись Cosign на всех образах контейнеров.
● Частые вопросы
Что такое Kyverno?
Kyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Kyverno?
Kyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
Как работает Kyverno?
Kyverno устанавливается как admission webhook и выполняет CR-объекты ClusterPolicy или Policy в YAML с правилами selector, match, validate, mutate, generate и verifyImages. Так как язык политик повторяет структуру объектов Kubernetes, командам, знакомым с манифестами, не нужно изучать Rego. Kyverno также проверяет подписи образов (Cosign/Notation), сканирует существующие ресурсы в фоне, поддерживает исключения и автоматически создаёт зависимые объекты (NetworkPolicy, RoleBinding) при появлении нового namespace. Его часто используют для применения Pod Security Standards, подписи образов, регламентов меток и аттестаций цепочки поставок; он конкурирует с OPA Gatekeeper в области admission-политик.
Как защититься от Kyverno?
Защита от Kyverno обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Kyverno?
Распространённые альтернативные названия: Политика Kyverno, ClusterPolicy.
● Связанные термины
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper — контроллер политик CNCF, использующий Open Policy Agent и язык Rego для применения политик допуска и аудита к ресурсам Kubernetes.
- cloud-security№ 597
Admission Controller Kubernetes
Admission controller — плагин API-сервера Kubernetes, перехватывающий аутентифицированные запросы до сохранения, чтобы по политике валидировать, изменять или отклонять объекты.
- cloud-security№ 838
Pod Security Standards
Pod Security Standards (PSS) — определённые в Kubernetes профили безопасности Privileged, Baseline и Restricted, фиксирующие безопасную конфигурацию подов вместо устаревшего PodSecurityPolicy.
- cloud-security№ 599
Kubernetes NetworkPolicy
Kubernetes NetworkPolicy — ресурс уровня namespace, который по IP, порту и протоколу определяет, какие поды могут общаться с какими подами или внешними точками.
- cloud-security№ 582
Kata Containers
Kata Containers — открытая среда выполнения, которая упаковывает каждый контейнер или под Kubernetes в лёгкую виртуальную машину, обеспечивая аппаратный уровень изоляции.
- cloud-security№ 455
gVisor
gVisor — открытое ядро уровня приложения от Google, перехватывающее системные вызовы контейнеров в пользовательском пространстве и сокращающее поверхность атаки на ядро хоста.