プロファイル適用性: レベル1
クラスターネットワーク内のトラフィックを分離するためにネットワークポリシーを使用します。
同じKubernetesクラスターで異なるアプリケーションを実行すると、侵害されたアプリケーションが隣接するアプリケーションを攻撃するリスクが生じます。ネットワークセグメンテーションは、コンテナが許可された相手とだけ通信できるようにするために重要です。ネットワークポリシーは、ポッドの選択が互いにおよび他のネットワークエンドポイントとどのように通信することを許可されているかの仕様です。
特定のポッドを選択するネットワークポリシーが名前空間に存在する場合、そのポッドはネットワークポリシーで許可されていない接続を拒否します。名前空間内でネットワークポリシーによって選択されていない他のポッドは、すべてのトラフィックを引き続き受け入れます。
 |
注意デフォルトでは、ネットワークポリシーは作成されません。
|
影響
特定のポッドを選択するネットワークポリシーが名前空間に存在する場合、そのポッドはネットワークポリシーで許可されていない接続を拒否します。名前空間内でネットワークポリシーによって選択されていない他のポッドは、すべてのトラフィックを引き続き受け入れます。
監査
以下のコマンドを実行し、クラスター内で作成された
NetworkPolicyオブジェクトを確認してください。kubectl get networkpolicy --all-namespaces
クラスター内で定義された各ネームスペースに少なくとも1つのネットワークポリシーがあることを確認してください。
修復
ドキュメントに従って、必要に応じて
NetworkPolicyオブジェクトを作成してください。