セキュリティハードニング

オペレーターは、すべてのAdmission Controller Helmチャートをインストールすることで、安全なデプロイメントを取得できます。kubewarden-defaults Helmチャートをインストールし、推奨されるポリシーを有効にすることをお勧めします。

これにより、デフォルトのPolicyServerとデフォルトのポリシーが提供され、保護モードでAdmission Controllerスタックが他のワークロードから安全であることが保証されます。

検証Admission Controllerチュートリアルを参照してください。

Admission Controllerは、異なる_説明_セクションにおけるRBAC構成を説明します。ユーザーは、監査スキャナー機能に必要な権限を微調整でき、コンテキスト対応機能のためのポリシーサーバーサービスアカウントも調整できます。

すべてのロールを表示するには：

コンテキスト対応ポリシーの場合、オペレーターはその`spec.contextAwareResources`の下でポリシーごとに細かい権限を指定し、それらはポリシーが実行されるポリシーサーバーに設定されたサービスアカウントと連携して機能します。

デフォルトでは、Admission ControllerはAdmission Controllerのカバレッジから特定のネームスペースを除外します。これは、初回使用を簡素化し、他のワークロードとの相互運用性を向上させるために行われます。

セキュリティ意識の高いオペレーターは、`.global.skipNamespaces`の値を使用して、`kubewarden-controller`および`kubewarden-defaults`のHelmチャートのこれらのネームスペースリストを調整できます。

1.23以降、Admission Controllerのスタックは、https://kubernetes.io/docs/concepts/security/pod-security-standards/#restricted[restricted`ポッドセキュリティ基準`]が適用されているネームスペースで実行でき、現在のポッドハードニングのベストプラクティスが適用されます。

そのためには、`pod-security.kubernetes.io/enforce: restricted`ラベルをAdmission Controllerデプロイメントネームスペースに追加する必要があります。

詳細については、Kubernetesのポッドセキュリティアドミッションのhttps://kubernetes.io/docs/concepts/security/pod-security-admission/[公式ドキュメント]を参照してください。