Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev.

Renforcement de la sécurité

SUSE Security Admission Controller s’efforce d’être sécurisé avec peu de configuration. Dans cette section et ses sous-pages, vous pouvez trouver des conseils de renforcement (avec leurs compromis) pour sécuriser Admission Controller lui-même.

Veuillez vous référer au modèle de menace pour plus d’informations.

`kubewarden-defaults` chart Helm

Les opérateurs peuvent obtenir un déploiement sécurisé en installant tous les Admission Controller charts Helm. Il est recommandé d’installer le kubewarden-defaults chart Helm et d’activer ses stratégies recommandées avec :

helm install --wait -n kubewarden kubewarden-defaults kubewarden/kubewarden-defaults \
  --set recommendedPolicies.enabled=True \
  --set recommendedPolicies.defaultPolicyMode=protect

Cela fournit un PolicyServer par défaut et des stratégies par défaut, en mode protection, pour garantir que la pile Admission Controller est à l’abri d’autres charges de travail.

Vérification des artefacts Admission Controller

Référez-vous au tutoriel Vérification Admission Controller.

RBAC

Admission Controller décrit les configurations RBAC dans différentes sections Explications. Les utilisateurs peuvent affiner les autorisations nécessaires pour la fonctionnalité Scanner d’audit, ainsi que le compte de service par PolicyServer pour la fonctionnalité contextuelle.

Pour voir tous les Rôles :

kubectl get clusterroles,roles -A | grep kubewarden

Autorisations par stratégie

Pour les stratégies contextuelles, les opérateurs spécifient des autorisations granulaires par stratégie sous son spec.contextAwareResources, et celles-ci fonctionnent en conjonction avec le compte de service configuré pour le PolicyServer où la stratégie s’exécute.

Couverture des charges de travail

Par défaut, Admission Controller exclut des espaces de noms spécifiques de la couverture Admission Controller. Cela est fait pour simplifier l’utilisation pour la première fois et l’interopérabilité avec d’autres charges de travail.

Les opérateurs soucieux de la sécurité peuvent ajuster cette liste d’espaces de noms via la valeur .global.skipNamespaces pour le chart Helm kubewarden-controller et le chart Helm kubewarden-defaults.

Admission de sécurité des pods

À partir de la version 1.23, la pile de Admission Controller peut fonctionner dans un espace de noms où restricted Pod Security Standards sont en place, avec les meilleures pratiques actuelles de renforcement de la sécurité des Pods.

Pour ce faire, vous devez ajouter l’étiquette pod-security.kubernetes.io/enforce: restricted à l’espace de noms de déploiement Admission Controller.

kubectl label namespace kubewarden pod-security.kubernetes.io/enforce=restricted --overwrite

Voir la documentation officielle de l’Admission de Sécurité des Pods de Kubernetes pour plus de détails.

SecurityContexts

Le kubewarden-controller chart Helm configure les SecurityContexts et les expose dans son values.yaml.

Le kubewarden-defaults chart Helm permet de configurer le PolicyServer par défaut .spec.securityContexts sous .Values.policyServer.securityContexts.

Pour les PolicyServers gérés par des opérateurs, vous pouvez les configurer via leur spec.securityContexts.