Pod Security Standards
Что такое Pod Security Standards?
Pod Security StandardsPod Security Standards (PSS) — определённые в Kubernetes профили безопасности Privileged, Baseline и Restricted, фиксирующие безопасную конфигурацию подов вместо устаревшего PodSecurityPolicy.
PSS определяет три кумулятивных профиля. Privileged ничего не ограничивает и предназначен только для системных подов. Baseline блокирует известные пути эскалации: hostNetwork, hostPID, hostPath, privileged-контейнеры и опасные capabilities. Restricted принуждает к практикам усиления: runAsNonRoot, read-only корень, seccomp RuntimeDefault, сброс всех capabilities кроме NET_BIND_SERVICE и запрет хостовых namespaces и опасных томов. Контроллер допуска Pod Security применяет профили на уровне namespace в трёх режимах: enforce, audit и warn. PSS — upstream-преемник PodSecurityPolicy и обычно используется вместе с OPA Gatekeeper или Kyverno.
● Примеры
- 01
Пометить namespace меткой pod-security.kubernetes.io/enforce: restricted.
- 02
PSA отклоняет под с CAP_SYS_ADMIN в namespace с baseline enforce.
● Частые вопросы
Что такое Pod Security Standards?
Pod Security Standards (PSS) — определённые в Kubernetes профили безопасности Privileged, Baseline и Restricted, фиксирующие безопасную конфигурацию подов вместо устаревшего PodSecurityPolicy. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Pod Security Standards?
Pod Security Standards (PSS) — определённые в Kubernetes профили безопасности Privileged, Baseline и Restricted, фиксирующие безопасную конфигурацию подов вместо устаревшего PodSecurityPolicy.
Как работает Pod Security Standards?
PSS определяет три кумулятивных профиля. Privileged ничего не ограничивает и предназначен только для системных подов. Baseline блокирует известные пути эскалации: hostNetwork, hostPID, hostPath, privileged-контейнеры и опасные capabilities. Restricted принуждает к практикам усиления: runAsNonRoot, read-only корень, seccomp RuntimeDefault, сброс всех capabilities кроме NET_BIND_SERVICE и запрет хостовых namespaces и опасных томов. Контроллер допуска Pod Security применяет профили на уровне namespace в трёх режимах: enforce, audit и warn. PSS — upstream-преемник PodSecurityPolicy и обычно используется вместе с OPA Gatekeeper или Kyverno.
Как защититься от Pod Security Standards?
Защита от Pod Security Standards обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Pod Security Standards?
Распространённые альтернативные названия: PSS, Pod Security Admission, PSA.
● Связанные термины
- cloud-security№ 597
Admission Controller Kubernetes
Admission controller — плагин API-сервера Kubernetes, перехватывающий аутентифицированные запросы до сохранения, чтобы по политике валидировать, изменять или отклонять объекты.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper — контроллер политик CNCF, использующий Open Policy Agent и язык Rego для применения политик допуска и аудита к ресурсам Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
- cloud-security№ 599
Kubernetes NetworkPolicy
Kubernetes NetworkPolicy — ресурс уровня namespace, который по IP, порту и протоколу определяет, какие поды могут общаться с какими подами или внешними точками.
- cloud-security№ 582
Kata Containers
Kata Containers — открытая среда выполнения, которая упаковывает каждый контейнер или под Kubernetes в лёгкую виртуальную машину, обеспечивая аппаратный уровень изоляции.
- cloud-security№ 455
gVisor
gVisor — открытое ядро уровня приложения от Google, перехватывающее системные вызовы контейнеров в пользовательском пространстве и сокращающее поверхность атаки на ядро хоста.