Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Políticas de Seguridad para Pods: Privilegiados, Base y Restringido, Apuntes de Informática General

Las tres políticas diferentes de seguridad para Pods en Kubernetes: Privilegiado, Base y Restringido. Las políticas son acumulativas y van desde altamente permisivas hasta altamente restrictivas. Se detallan los requisitos de cada política.

Tipo: Apuntes

2020/2021

Subido el 26/09/2022

m-p-65
m-p-65 🇨🇱

3 documentos

1 / 6

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Estándares de seguridad de pods
Los estándares de seguridad de pods definen tres políticas diferentes para cubrir ampliamente el
espectro de seguridad. Estas políticas son acumulativas y van desde altamente permisivas hasta
altamente restrictivas. Esta guía describe los requisitos de cada póliza.
Perfil Descripción
Privilegiad
o
Política sin restricciones, que proporciona el nivel de permisos más amplio posible. Esta política permite escaladas de privilegios conocidas.
Base Política mínimamente restrictiva que evita escaladas de privilegios conocidas. Permite la configuración de pod predeterminada (mínimamente
especificada).
Restringido Política muy restringida, siguiendo las mejores prácticas actuales de refuerzo de Pod.
detalles del perfil
Privilegiado
La política Privileged está intencionalmente abierta y no tiene restricciones. Este tipo de política
generalmente está dirigido a cargas de trabajo a nivel de sistema e infraestructura administradas
por usuarios privilegiados y confiables.
La política Privilegiada se define por la ausencia de restricciones. Los mecanismos permitidos de
forma predeterminada (como el portero) pueden tener privilegios de forma predeterminada. Por
el contrario, para un mecanismo de denegación por defecto (como la política de seguridad de
pod), la política privilegiada debe deshabilitar todas las restricciones.
Base
La política de línea de base tiene como objetivo facilitar la adopción de cargas de trabajo en
contenedores comunes y, al mismo tiempo, evitar escaladas de privilegios conocidas. Esta
política está dirigida a operadores de aplicaciones y desarrolladores de aplicaciones no críticas. Los
siguientes controles enumerados deben ser aplicados/no permitidos:
Nota: En esta tabla, los comodines ( *) indican todos los elementos de una lista. Por
ejemplo, spec.containers[*].securityContexthace referencia al objeto Contexto de seguridad
para todos los contenedores definidos . Si alguno de los contenedores enumerados no cumple con
los requisitos, todo el pod fallará en la validación.
Control Política
HostProceso Los pods de Windows ofrecen la capacidad de ejecutar contenedores de HostProcess, lo que permite el acceso privilegiado al
nodo de Windows. El acceso privilegiado al host no está permitido en la política de referencia.
ESTADO DE LA CARACTERÍSTICA: Kubernetes v1.23 [beta]
Campos Restringidos
pf3
pf4
pf5

Vista previa parcial del texto

¡Descarga Políticas de Seguridad para Pods: Privilegiados, Base y Restringido y más Apuntes en PDF de Informática General solo en Docsity!

Estándares de seguridad de pods Los estándares de seguridad de pods definen tres políticas diferentes para cubrir ampliamente el espectro de seguridad. Estas políticas son acumulativas y van desde altamente permisivas hasta altamente restrictivas. Esta guía describe los requisitos de cada póliza. Perfil Descripción Privilegiad o Política sin restricciones, que proporciona el nivel de permisos más amplio posible. Esta política permite e Base Política mínimamente restrictiva que evita escaladas de privilegios conocidas. Permite la configuración de especificada). Restringido Política muy restringida, siguiendo las mejores prácticas actuales de refuerzo de Pod. detalles del perfil Privilegiado La política Privileged está intencionalmente abierta y no tiene restricciones. Este tipo de política generalmente está dirigido a cargas de trabajo a nivel de sistema e infraestructura administradas por usuarios privilegiados y confiables. La política Privilegiada se define por la ausencia de restricciones. Los mecanismos permitidos de forma predeterminada (como el portero) pueden tener privilegios de forma predeterminada. Por el contrario, para un mecanismo de denegación por defecto (como la política de seguridad de pod), la política privilegiada debe deshabilitar todas las restricciones. Base La política de línea de base tiene como objetivo facilitar la adopción de cargas de trabajo en contenedores comunes y, al mismo tiempo, evitar escaladas de privilegios conocidas. Esta política está dirigida a operadores de aplicaciones y desarrolladores de aplicaciones no críticas. Los siguientes controles enumerados deben ser aplicados/no permitidos: Nota: En esta tabla, los comodines ( ) indican todos los elementos de una lista. Por ejemplo, spec.containers[].securityContexthace referencia al objeto Contexto de seguridad para todos los contenedores definidos. Si alguno de los contenedores enumerados no cumple con los requisitos, todo el pod fallará en la validación. Control Política HostProceso Los pods de Windows ofrecen la capacidad de ejecutar contenedores de HostProcess, lo nodo de Windows. El acceso privilegiado al host no está permitido en la política de refere ESTADO DE LA CARACTERÍSTICA: Kubernetes v1.23 [beta] Campos Restringidos

 spec.securityContext.windowsOptions.hostProcess  spec.containers[].securityContext.windowsOptions.hostProcess  spec.initContainers[].securityContext.windowsOptions.hostProcess  spec.ephemeralContainers[].securityContext.windowsOptions.hostProcess Valores permitidos  Indefinido/cero  false Espacios de nombres de host No se debe permitir compartir los espacios de nombres del host. Campos Restringidos  spec.hostNetwork  spec.hostPID  spec.hostIPC Valores permitidos  Indefinido/cero  false Contenedores privilegiados Los pods privilegiados deshabilitan la mayoría de los mecanismos de seguridad y deben d Campos Restringidos  spec.containers[].securityContext.privileged  spec.initContainers[].securityContext.privileged  spec.ephemeralContainers[].securityContext.privileged Valores permitidos  Indefinido/cero  false Capacidades No se debe permitir agregar capacidades adicionales más allá de las enumeradas a contin Campos Restringidos  spec.containers[].securityContext.capabilities.add  spec.initContainers[].securityContext.capabilities.add  spec.ephemeralContainers[*].securityContext.capabilities.add

AppArmor En hosts compatibles, el runtime/defaultperfil de AppArmor se aplica de forma predeterm debe evitar la anulación o la desactivación del perfil de AppArmor predeterminado, o res permitido de perfiles. Campos Restringidos  metadata.annotations["container.apparmor.security.beta.kubernetes.io/"] Valores permitidos  Indefinido/cero  runtime/default  localhost/ SELinux La configuración del tipo de SELinux está restringida y está prohibida la configuración de usuario de SELinux. Campos Restringidos  spec.securityContext.seLinuxOptions.type  spec.containers[].securityContext.seLinuxOptions.type  spec.initContainers[].securityContext.seLinuxOptions.type  spec.ephemeralContainers[].securityContext.seLinuxOptions.type Valores permitidos  Indefinido/""  container_t  container_init_t  container_kvm_t Campos Restringidos  spec.securityContext.seLinuxOptions.user  spec.containers[].securityContext.seLinuxOptions.user  spec.initContainers[].securityContext.seLinuxOptions.user  spec.ephemeralContainers[].securityContext.seLinuxOptions.user  spec.securityContext.seLinuxOptions.role

 spec.containers[].securityContext.seLinuxOptions.role  spec.initContainers[].securityContext.seLinuxOptions.role  spec.ephemeralContainers[].securityContext.seLinuxOptions.role Valores permitidos  Indefinido/"" /procTipo de montaje Las máscaras predeterminadas /procestán configuradas para reducir la superficie de ataq Campos Restringidos  spec.containers[].securityContext.procMount  spec.initContainers[].securityContext.procMount  spec.ephemeralContainers[].securityContext.procMount Valores permitidos  Indefinido/cero  Default Seccomp El perfil de Seccomp no debe establecerse explícitamente en Unconfined. Campos Restringidos  spec.securityContext.seccompProfile.type  spec.containers[].securityContext.seccompProfile.type  spec.initContainers[].securityContext.seccompProfile.type  spec.ephemeralContainers[].securityContext.seccompProfile.type Valores permitidos  Indefinido/cero  RuntimeDefault  Localhost Sistemas Sysctls puede deshabilitar los mecanismos de seguridad o afectar a todos los contenedor excepto por un subconjunto "seguro" permitido. Un sysctl se considera seguro si tiene un contenedor o el Pod, y está aislado de otros Pods o procesos en el mismo Nodo. Campos Restringidos  spec.securityContext.sysctls[].name Valores permitidos