k8s-security-policies

Umożliwia wdrożenie kompleksowego bezpieczeństwa klastra Kubernetes poprzez konfigurację polityk sieciowych (NetworkPolicy), standardów bezpieczeństwa podów (Pod Security Standards) i kontroli dostępu opartej na rolach (RBAC). Zastosuj tę umiejętność, gdy chcesz segmentować sieć, egzekwować zasady bezpieczeństwa podów, ustawić dostęp z najmniejszymi uprawnieniami lub przygotować klaster do środowiska produkcyjnego z wymogami compliance.

1. Zainstaluj umiejętność w swoim agencie Kubernetes, dodając ją do listy dostępnych pluginów operacyjnych. Upewnij się, że masz dostęp do klastra i uprawnienia do tworzenia zasobów sieciowych oraz polityk bezpieczeństwa.

2. Zdefiniuj poziom bezpieczeństwa dla swoich przestrzeni nazw (namespace). Wybierz jeden z trzech poziomów: Privileged (bez ograniczeń), Baseline (minimalne ograniczenia) lub Restricted (maksymalne ograniczenia). Dodaj odpowiednie etykiety pod-security.kubernetes.io do metadanych namespace, aby wymusić wybrany standard.

3. Wdróż polityki sieciowe, zaczynając od reguły default-deny-all, która blokuje cały ruch przychodzący i wychodzący. Następnie dodaj konkretne reguły NetworkPolicy, aby zezwolić na komunikację między wybranymi komponentami (np. frontend do backend).

4. Skonfiguruj RBAC, definiując role i wiązania ról (RoleBinding) dla użytkowników i serwisów. Przydziel każdemu podmiotowi tylko uprawnienia niezbędne do wykonania jego funkcji, stosując zasadę najmniejszych uprawnień.

5. Przetestuj wdrożone polityki, uruchamiając pody w różnych namespace i weryfikując, czy ruch sieciowy jest blokowany lub zezwalany zgodnie z oczekiwaniami. Monitoruj logi audytu, aby upewnić się, że polityki działają poprawnie.

6. W razie potrzeby dostosuj polityki bezpieczeństwa na podstawie wymagań aplikacji i standardów compliance. Dokumentuj wszystkie zmiany w celu utrzymania spójności bezpieczeństwa w klastrze.