Profilanwendbarkeit: Stufe 1
Verwenden Sie allowedHostPath, um ein Container-Feature zu verweigern, das häufig
für Ausbrüche ausgenutzt wird.
Prüfung
Führen Sie den folgenden Befehl aus und überprüfen Sie die Metadatenanmerkungen des
Namensraums:
kubectl get namespaces
Überprüfen Sie, ob die Anmerkungen
pod-security.kubernetes.io/enforce gleich restricted und pod-security.kubernetes.io/allowedHostPath gleich false sind.Wiederherstellung
Fügen Sie relevante Anmerkungen in den Namespaces hinzu, um eingeschränkte Richtlinien
durchzusetzen und allowedHostPath zu konfigurieren. Verwenden Sie Pod Security Admission
(PSA), um den Sicherheitsmodus "restricted" auf Namespace-Ebene anzuwenden.
Alternativ können Sie eine Kyverno-Richtlinie erstellen und anwenden, um die Verwendung
von hostPath einzuschränken, oder den Open Policy Agent (OPA) Gatekeeper verwenden,
um eine Einschränkungsvorlage für einen erlaubten hostPath zu erstellen, um die Richtlinie
durchzusetzen und anzuwenden.
Für AWS EKS-Cluster wird Kyverno oder OPA Gatekeeper empfohlen. Für OpenShift stellen
Sie sicher, dass der Security Context Constraint (SCC), der einem Benutzer/einer Gruppe
zugewiesen ist, hostPath nicht zulässt.