Kubernetes Pods in Managed Namespace

Die gemanagten Mayope Namespaces garantieren vollen Funktionsumfang.

Um allerdings einen sicheren ununterbrochenen Service bereitzustellen wird der Baseline PodSecurityStandard angewandt:

Volume Restriktionen

Mounting hostPath volumes ist nicht erlaubt.

Privileged containers

Privileged containers mittels securityContext.privileged ist nicht erlaubt

Capabilities

Hinzufügen on capabilities über das default set mittels securityContext.capabilities.add ist nicht erlaubt.

Port Restriktionen

Benutzen von hostPort ist nicht erlaubt

SELinux

Setzen des SELinux Typs is eingeschränkt und das Setzen eines eigenen SELinux Benutzers oder einer Rolle is verboten. Eingeschränkte Felder: securityContext.seLinuxOptions.type, securityContext.seLinuxOptions.role, securityContext.seLinuxOptions.user

/proc Mount Type

Parameter securityContext.procMount ist nicht erlaubt.

Sysctl

Ändern des Wertes securityContext.sysctls ist nicht erlaubt.

Privileg Eskalation

Privileg Eskalation durch allowPrivilegeEscalation ist nicht erlaubt.

Non-root Gruppen

Benutzen der Parameter runAsGroup,supplementalGroups und fsGroup wird im SecurityContext nicht unterstützt.