Estandares de Seguridad en el Pod
Pod Security Standards (PSS) traducido al ingles. Este estandar define tres políticas diferentes para cubrir ampliamente el espectro de seguridad. Estas políticas son acumulativas y van desde muy permisivas hasta muy restrictivas. Esta guía describe los requisitos de cada política.
| Perfil | Descripcion |
|---|---|
| privileged | Política sin restricciones, que proporciona el nivel más amplio posible de permisos. Esta política permite escaladas de privilegios conocidas |
| baseline | Política mínimamente restrictiva que impide las escaladas de privilegios conocidas. Permite la configuración predeterminada (mínimamente especificada) del pod |
| restricted | Política muy restrictiva, siguiendo las mejores prácticas actuales de refuerzo de Pod |
Aplicar los estandares de Seguridad
Una vez habilitada la función o instalado el webhook, se puede configurar los namespace para definir el modo de control de admisión que desea utilizar para la seguridad de los pods en cada espacio de nombres. Kubernetes define un conjunto de etiquetas que puede establecer para definir cuál de los niveles predefinidos de Pod Security Standard desea utilizar para un espacio de nombres. La etiqueta que seleccione define la acción que tomará el plano de control si se detecta una posible infracción:
| Modo | Descripción |
|---|---|
| enforce | Éste modo provoca el rechazo del pod |
| audit | Éste modo provocarán el registro del evento en un fichero de eventos de sistema, pero por lo demás están permitidas |
| warn | Éste modo dará lugar a una advertencia dirigida al usuario, pero por lo demás están permitidas |
Para cada modo, hay dos etiquetas que determinan la política utilizada:
# La etiqueta de nivel por modo indica qué nivel de política se debe aplicar para el modo
#
# MODE tiene que ser uno de `enforce`, `audit`, or `warn`.
# LEVEL tiene que ser uno de `privileged`, `baseline`, or `restricted`.
pod-security.kubernetes.io/<MODE>: <LEVEL>
# Opcional: etiqueta de versión por modo que se puede utilizar para fijar la política a la
# versión que se incluye con una versión menor determinada de Kubernetes (por ejemplo, v1.34).
#
# MODE tiene que ser uno de `enforce`, `audit`, or `warn`.
# VERSION tiene que ser una version menor valida de Kubernetes, o `latest`.
pod-security.kubernetes.io/<MODE>-version: <VERSION>