Pod 安全标准(PSS).

Pod 安全标准(PSS)是 Kubernetes 定义的 Privileged、Baseline、Restricted 三种安全档位,用以规范 Pod 配置并替代已弃用的 PodSecurityPolicy。 它属于网络安全的 云安全 分类。

Pod 安全标准(PSS)是 Kubernetes 定义的 Privileged、Baseline、Restricted 三种安全档位,用以规范 Pod 配置并替代已弃用的 PodSecurityPolicy。

PSS 定义了三个累进档位。Privileged 不施加任何限制,仅用于系统组件。Baseline 阻止最常见的逃逸路径,如 hostNetwork、hostPID、hostPath、特权容器与危险 capability。Restricted 进一步执行加固最佳实践:runAsNonRoot、只读根文件系统、seccomp RuntimeDefault、丢弃 NET_BIND_SERVICE 以外的所有 capability,并禁止主机命名空间或不安全卷。Pod Security admission controller 按命名空间在 enforce、audit、warn 三种模式下生效。PSS 是 PodSecurityPolicy 的上游替代,通常与 OPA Gatekeeper 或 Kyverno 配合实现更细化的策略。

针对 Pod 安全标准(PSS) 的防御通常结合技术控制与运营实践,详见上方完整定义。

常见的别称包括: PSS, Pod Security Admission, PSA。