Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.34-dev.

Sicherheitshärtung

SUSE Security Admission Controller strebt danach, mit minimaler Konfiguration sicher zu sein. In diesem Abschnitt und seinen Unterseiten finden Sie Härtungstipps (mit ihren Kompromissen), um Admission Controller selbst zu sichern.

Bitte beziehen Sie sich auf das Bedrohungsmodell für weitere Informationen.

`kubewarden-defaults` Helm-Chart

Betreiber können eine sichere Implementierung erreichen, indem sie alle Admission Controller Helm-Charts installieren. Es wird empfohlen, das kubewarden-defaults Helm-Chart zu installieren und seine empfohlenen Richtlinien mit zu aktivieren:

helm install --wait -n kubewarden kubewarden-defaults kubewarden/kubewarden-defaults \
  --set recommendedPolicies.enabled=True \
  --set recommendedPolicies.defaultPolicyMode=protect

Dies bietet einen Standard-PolicyServer und Standardrichtlinien im Schutzmodus, um sicherzustellen, dass der Admission Controller Stack vor anderen Arbeitslasten geschützt ist.

Überprüfung von Admission Controller Artefakten

Siehe das Überprüfen von Admission Controller Tutorial.

RBAC

Admission Controller beschreibt RBAC-Konfigurationen in verschiedenen Erklärungen Abschnitten. Benutzer können die benötigten Berechtigungen für die Audit-Scanner Funktion sowie für das pro Policy Server Dienstkonto für die kontextbewusste Funktion feinabstimmen.

Um alle Rollen anzuzeigen:

kubectl get clusterroles,roles -A | grep kubewarden

Berechtigungen pro Richtlinie

Für kontextbewusste Richtlinien geben die Betreiber feingranulierte Berechtigungen pro Richtlinie unter ihrem spec.contextAwareResources an, und diese arbeiten in Verbindung mit dem Dienstkonto, das für den Policy Server konfiguriert ist, auf dem die Richtlinie ausgeführt wird.

Arbeitslastabdeckung

Standardmäßig schließt Admission Controller bestimmte Namespaces von der Admission Controller Abdeckung aus. Dies geschieht, um die Erstbenutzung zu vereinfachen und die Interoperabilität mit anderen Arbeitslasten zu gewährleisten.

Sicherheitsbewusste Betreiber können diese Namespaces-Liste über den .global.skipNamespaces-Wert sowohl für die kubewarden-controller als auch für die kubewarden-defaults Helm-Charts anpassen.

Pod-Sicherheitszulassung

Ab Version 1.23 kann der Stack von Admission Controller in einem Namespace ausgeführt werden, in dem die `restricted`Pod-Sicherheitsstandards gelten, mit den aktuellen besten Praktiken zur Härtung von Pods.

Um dies zu tun, müssen Sie das pod-security.kubernetes.io/enforce:restricted Label zum Admission Controller Implementierungs-Namespace hinzufügen.

kubectl label namespace kubewarden pod-security.kubernetes.io/enforce=restricted --overwrite

Siehe die offizielle Dokumentation zur Pod-Sicherheitszulassung von Kubernetes für weitere Details.

SecurityContexts

Das kubewarden-controller Helm-Chart konfiguriert die Sicherheitskontexte und stellt sie in seinem values.yaml zur Verfügung.

Das kubewarden-defaults Helm-Chart ermöglicht die Konfiguration des Standard-Policy-Servers .spec.securityContexts unter .Values.policyServer.securityContexts.

Für von Betreibern verwaltete Policy-Server können Sie diese über ihre spec.securityContexts konfigurieren.