



Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
Las tres políticas diferentes de seguridad para Pods en Kubernetes: Privilegiado, Base y Restringido. Las políticas son acumulativas y van desde altamente permisivas hasta altamente restrictivas. Se detallan los requisitos de cada política.
Tipo: Apuntes
1 / 6
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!




Estándares de seguridad de pods Los estándares de seguridad de pods definen tres políticas diferentes para cubrir ampliamente el espectro de seguridad. Estas políticas son acumulativas y van desde altamente permisivas hasta altamente restrictivas. Esta guía describe los requisitos de cada póliza. Perfil Descripción Privilegiad o Política sin restricciones, que proporciona el nivel de permisos más amplio posible. Esta política permite e Base Política mínimamente restrictiva que evita escaladas de privilegios conocidas. Permite la configuración de especificada). Restringido Política muy restringida, siguiendo las mejores prácticas actuales de refuerzo de Pod. detalles del perfil Privilegiado La política Privileged está intencionalmente abierta y no tiene restricciones. Este tipo de política generalmente está dirigido a cargas de trabajo a nivel de sistema e infraestructura administradas por usuarios privilegiados y confiables. La política Privilegiada se define por la ausencia de restricciones. Los mecanismos permitidos de forma predeterminada (como el portero) pueden tener privilegios de forma predeterminada. Por el contrario, para un mecanismo de denegación por defecto (como la política de seguridad de pod), la política privilegiada debe deshabilitar todas las restricciones. Base La política de línea de base tiene como objetivo facilitar la adopción de cargas de trabajo en contenedores comunes y, al mismo tiempo, evitar escaladas de privilegios conocidas. Esta política está dirigida a operadores de aplicaciones y desarrolladores de aplicaciones no críticas. Los siguientes controles enumerados deben ser aplicados/no permitidos: Nota: En esta tabla, los comodines ( ) indican todos los elementos de una lista. Por ejemplo, spec.containers[].securityContexthace referencia al objeto Contexto de seguridad para todos los contenedores definidos. Si alguno de los contenedores enumerados no cumple con los requisitos, todo el pod fallará en la validación. Control Política HostProceso Los pods de Windows ofrecen la capacidad de ejecutar contenedores de HostProcess, lo nodo de Windows. El acceso privilegiado al host no está permitido en la política de refere ESTADO DE LA CARACTERÍSTICA: Kubernetes v1.23 [beta] Campos Restringidos
spec.securityContext.windowsOptions.hostProcess spec.containers[].securityContext.windowsOptions.hostProcess spec.initContainers[].securityContext.windowsOptions.hostProcess spec.ephemeralContainers[].securityContext.windowsOptions.hostProcess Valores permitidos Indefinido/cero false Espacios de nombres de host No se debe permitir compartir los espacios de nombres del host. Campos Restringidos spec.hostNetwork spec.hostPID spec.hostIPC Valores permitidos Indefinido/cero false Contenedores privilegiados Los pods privilegiados deshabilitan la mayoría de los mecanismos de seguridad y deben d Campos Restringidos spec.containers[].securityContext.privileged spec.initContainers[].securityContext.privileged spec.ephemeralContainers[].securityContext.privileged Valores permitidos Indefinido/cero false Capacidades No se debe permitir agregar capacidades adicionales más allá de las enumeradas a contin Campos Restringidos spec.containers[].securityContext.capabilities.add spec.initContainers[].securityContext.capabilities.add spec.ephemeralContainers[*].securityContext.capabilities.add
AppArmor En hosts compatibles, el runtime/defaultperfil de AppArmor se aplica de forma predeterm debe evitar la anulación o la desactivación del perfil de AppArmor predeterminado, o res permitido de perfiles. Campos Restringidos metadata.annotations["container.apparmor.security.beta.kubernetes.io/"] Valores permitidos Indefinido/cero runtime/default localhost/ SELinux La configuración del tipo de SELinux está restringida y está prohibida la configuración de usuario de SELinux. Campos Restringidos spec.securityContext.seLinuxOptions.type spec.containers[].securityContext.seLinuxOptions.type spec.initContainers[].securityContext.seLinuxOptions.type spec.ephemeralContainers[].securityContext.seLinuxOptions.type Valores permitidos Indefinido/"" container_t container_init_t container_kvm_t Campos Restringidos spec.securityContext.seLinuxOptions.user spec.containers[].securityContext.seLinuxOptions.user spec.initContainers[].securityContext.seLinuxOptions.user spec.ephemeralContainers[].securityContext.seLinuxOptions.user spec.securityContext.seLinuxOptions.role
spec.containers[].securityContext.seLinuxOptions.role spec.initContainers[].securityContext.seLinuxOptions.role spec.ephemeralContainers[].securityContext.seLinuxOptions.role Valores permitidos Indefinido/"" /procTipo de montaje Las máscaras predeterminadas /procestán configuradas para reducir la superficie de ataq Campos Restringidos spec.containers[].securityContext.procMount spec.initContainers[].securityContext.procMount spec.ephemeralContainers[].securityContext.procMount Valores permitidos Indefinido/cero Default Seccomp El perfil de Seccomp no debe establecerse explícitamente en Unconfined. Campos Restringidos spec.securityContext.seccompProfile.type spec.containers[].securityContext.seccompProfile.type spec.initContainers[].securityContext.seccompProfile.type spec.ephemeralContainers[].securityContext.seccompProfile.type Valores permitidos Indefinido/cero RuntimeDefault Localhost Sistemas Sysctls puede deshabilitar los mecanismos de seguridad o afectar a todos los contenedor excepto por un subconjunto "seguro" permitido. Un sysctl se considera seguro si tiene un contenedor o el Pod, y está aislado de otros Pods o procesos en el mismo Nodo. Campos Restringidos spec.securityContext.sysctls[].name Valores permitidos