Ungewollte Kommunikation in Kubernetes unterbinden
Ungewollte Kommunikation in Kubernetes unterbinden
Network-Policies in Kubernetes-Containern
Pods können mit End-Points und Services ohne weitere Einschränkungen kommunizieren.
Wird ein Container oder Pod angegriffen, versucht der Angreifer für gewöhnlich auf andere Container oder Pods oder auf die Maschine selbst zuzugreifen. Network-Policies wirken diesem Angriffsversuch entgegen.
Wir raten an, eine Network-Policy mit der „Deny-All“-Rolle in jedem Namespace zu erstellen und gleichermaßen von der Nutzung sogenannter globaler Network-Policies abzusehen. Oft sind diese aus administrativer Sicht verwirrend und stellen ein Sicherheitsrisiko dar.
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-all
namespace: default ### should be created for all namespaces!
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
Mithilfe von erweiterten Network-Policies ist den Pods die Kommunikation erneut zu gestatten.
Wir empfehlen zumindest einen Verantwortlichen für die Network-Policies zu wählen.