プロファイル適用性: レベル2
クラスターネットワーク内のトラフィックを分離するためにネットワークポリシーを使用します。
同じKubernetesクラスターで異なるアプリケーションを実行すると、侵害されたアプリケーションが隣接するアプリケーションを攻撃するリスクが生じます。ネットワークセグメンテーションは、コンテナが意図された相手とだけ通信できるようにするために重要です。ネットワークポリシーは、ポッドの選択が互いにおよび他のネットワークエンドポイントとどのように通信することを許可されているかの仕様です。
ネットワークポリシーはネームスペースにスコープされます。特定のネームスペースにネットワークポリシーが導入されると、そのポリシーで許可されていないすべてのトラフィックは拒否されます。ただし、ネームスペースにネットワークポリシーが存在しない場合、そのネームスペース内のポッドへの出入りのすべてのトラフィックが許可されます。
 |
注意デフォルトでは、ネットワークポリシーは作成されません。
|
影響
特定のネームスペース内でネットワークポリシーが使用されると、ネットワークポリシーで明示的に許可されていないトラフィックは拒否されます。そのため、ネットワークポリシーを導入する際には、正当なトラフィックがブロックされないようにすることが重要です。
監査
以下のコマンドを実行し、クラスター内で作成された
NetworkPolicyオブジェクトを確認してください。kubectl get networkpolicy --all-namespaces ensure that each namespace defined in the cluster has at least one Network Policy.
修復
ドキュメントに従って必要に応じて
NetworkPolicyオブジェクトを作成してください。詳細については、Kubernetesのドキュメントを参照してください。