|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
|
これは未公開の文書です Admission Controller 1.34-dev. |
セキュリティハードニング
SUSE Security Admission Controllerは、最小限の設定で安全であることを目指しています。このセクションおよびそのサブページでは、Admission Controller自体を保護するためのハードニングのヒント(そのトレードオフを含む)を見つけることができます。
詳細については、脅威モデルを参照してください。
kubewarden-defaults Helmチャート
オペレーターは、すべてのAdmission Controller Helmチャートをインストールすることで、安全なデプロイメントを取得できます。kubewarden-defaults Helmチャートをインストールし、推奨されるポリシーを有効にすることをお勧めします。
helm install --wait -n kubewarden kubewarden-defaults kubewarden/kubewarden-defaults \
--set recommendedPolicies.enabled=True \
--set recommendedPolicies.defaultPolicyMode=protect
これにより、デフォルトのPolicyServerとデフォルトのポリシーが提供され、保護モードでAdmission Controllerスタックが他のワークロードから安全であることが保証されます。
Admission Controllerアーティファクトの検証
検証Admission Controllerチュートリアルを参照してください。
ポリシーごとの権限
コンテキスト対応ポリシーの場合、オペレーターはその`spec.contextAwareResources`の下でポリシーごとに細かい権限を指定し、それらはポリシーが実行されるポリシーサーバーに設定されたサービスアカウントと連携して機能します。
ワークロードのカバレッジ
デフォルトでは、Admission ControllerはAdmission Controllerのカバレッジから特定のネームスペースを除外します。これは、初回使用を簡素化し、他のワークロードとの相互運用性を向上させるために行われます。
セキュリティ意識の高いオペレーターは、`.global.skipNamespaces`の値を使用して、`kubewarden-controller`および`kubewarden-defaults`のHelmチャートのこれらのネームスペースリストを調整できます。
ポッドセキュリティアドミッション
1.23以降、Admission Controllerのスタックは、https://kubernetes.io/docs/concepts/security/pod-security-standards/#restricted[restricted`ポッドセキュリティ基準`]が適用されているネームスペースで実行でき、現在のポッドハードニングのベストプラクティスが適用されます。
そのためには、`pod-security.kubernetes.io/enforce: restricted`ラベルをAdmission Controllerデプロイメントネームスペースに追加する必要があります。
kubectl label namespace kubewarden pod-security.kubernetes.io/enforce=restricted --overwrite
詳細については、Kubernetesのポッドセキュリティアドミッションのhttps://kubernetes.io/docs/concepts/security/pod-security-admission/[公式ドキュメント]を参照してください。
SecurityContexts
kubewarden-controller Helmチャートは、セキュリティコンテキストを構成し、それを`values.yaml`で公開します。
kubewarden-defaults Helmチャートでは、.Values.policyServer.securityContexts`の下でデフォルトのポリシーサーバー.spec.securityContexts`を構成できます。
オペレーターによって管理されるポリシーサーバーについては、spec.securityContextsを介して構成できます。