Preguntas frecuentes: Estándares de seguridad de pods y Admisión de seguridad de pods en los pods de Amazon EKS

P: ¿Cómo puedo activar o desactivar los Estándares de seguridad y la Admisión de seguridad de pods en mi clúster de Amazon EKS?

De forma predeterminada, las versiones 1.23 y posteriores de Kubernetes activan todos los modos de Admisión de seguridad de pods para el perfil privilegiado de Estándares de seguridad de pods en el nivel de clúster. Admisión de seguridad de pods permite realizar despliegues o pods con el perfil privilegiado de Estándares de seguridad de pods en todos los espacios de nombres.

P: ¿Cómo aplico perfiles específicos de los modos Admisión de seguridad de pods y Estándares de seguridad de pods en el nivel del espacio de nombres de Kubernetes?

Para aplicar perfiles específicos de los modos Admisión de seguridad de pods y Estándares de seguridad de pods en el nivel del espacio de nombres de Kubernetes, configura las etiquetas del espacio de nombres.

Por ejemplo, ejecuta el siguiente comando para aplicar el modo de cumplimiento de Estándares de seguridad de pods de valor de referencia a un único espacio de nombres:

kubectl label --overwrite ns test-namespace pod-security.kubernetes.io/enforce=baseline

O bien, ejecuta el siguiente comando para aplicar el modo de cumplimiento de Estándares de seguridad de pods de valor de referencia a todos los espacios de nombres disponibles:

kubectl label --overwrite ns --all pod-security.kubernetes.io/enforce=baseline

Nota: Sustituye el espacio test-namespace por el nombre de tu espacio de nombres, enforce por el modo de Admisión de seguridad de pods y baseline por el perfil de política de Estándares de seguridad de pods. Para más información, consulta Pod Security Admission labels for namespaces (Etiquetas de admisión de seguridad de pods para los espacios de nombres) y Pod Security Standards (Estándares de seguridad de pods) en el sitio web de Kubernetes.

P: Cuando modifico mi espacio de nombres para usar un perfil de Estándares de seguridad de pods más restrictivo, ¿afectará a la función de los pods existentes en el espacio de nombres?

No. Si modificas un espacio de nombres con los pods existentes para usar los modos de auditoría o advertencia, recibirás un mensaje en tu terminal. También puedes ver el mensaje en la sección status.message de salida YAML del pod. Si modificas el espacio de nombres para usar el modo de cumplimiento, Kubernetes no elimina los pods existentes en el espacio de nombres. Sin embargo, recibirás un mensaje similar al siguiente ejemplo:

«Warning: existing pods in namespace "policy-test" violate the new PodSecurity enforce level "restricted:latest"»

«Warning: test-688f68dc87-htm8x: allowPrivilegeEscalation != false, unrestricted capabilities, runAsNonRoot != true, seccompProfilenamespace/policy-test configured»

Ejemplo de mensaje de modo de cumplimiento en la salida YAML del pod:

lastTransitionTime: "2022-11-24T05:10:49Z"
lastUpdateTime: "2022-11-24T05:10:49Z"
message: 'pods "test-67d5fc995b-8r9t2" is forbidden: violates PodSecurity "baseline:latest": privileged (container "assets" must not set securityContext.privileged=true)'
reason: FailedCreate
status: "True"
type: ReplicaFailure

Si un pod no cumple con la política de perfil de los Estándares de seguridad de pods o el modo de Admisión de seguridad de pods del espacio de nombres, actualiza su manifiesto de despliegue.

P: ¿Cómo personalizo la política de seguridad del pod que el controlador de Admisión de seguridad de pods aplicó en mi nivel de espacio de nombres?

No puedes personalizar directamente la política de seguridad del pod aplicada a través del controlador de Admisión de seguridad de pods. En su lugar, usa políticas de admisión de validación para implementar y hacer cumplir tus reglas personalizadas, o usa el control de admisión de webhook con código externo.

P: ¿Puedo aplicar varios modos de Admisión de seguridad de pods y perfiles de Estándares de seguridad de pods a un único espacio de nombres de Kubernetes?

No. Sin embargo, puedes usar etiquetas para configurar varias comprobaciones de Estándares de seguridad de pods en cualquier espacio de nombres.

Por ejemplo, el siguiente comando aplica el modo de cumplimiento a los Estándares de seguridad de pods de valor de referencia y los modos de advertencia y auditoría a los Estándares de seguridad de pods restringidos según la versión más reciente:

  kubectl label --overwrite ns test \\
  pod-security.kubernetes.io/enforce=baseline \\
  pod-security.kubernetes.io/enforce-version=latest \\
  pod-security.kubernetes.io/warn=restricted \\
  pod-security.kubernetes.io/warn-version=latest \\
  pod-security.kubernetes.io/audit=restricted \\
  pod-security.kubernetes.io/audit-version=latest

P: ¿Puedo aplicar los perfiles de los modos de Admisión de seguridad de pods y Estándares de seguridad de pods en el nivel de clúster para mi clúster de Kubernetes administrado?

No. Para los clústeres administrados, puedes aplicar los perfiles de los modos de Admisión de seguridad de pods y de Estándares de seguridad de pods solo en el nivel del espacio de nombres.

P. ¿Puedo usar el webhook de Admisión de seguridad de pods con mi clúster de Amazon EKS?

Sí. Puedes instalar el webhook de Admisión de seguridad de pods en tu clúster de Amazon EKS. Para obtener más información, consulta pod-security-admission webhook (Webhook pod-security-admission) en el sitio web de GitHub.

P. ¿Por qué debo usar el webhook de Admisión de seguridad de pods en mi clúster de Amazon EKS?

Con el webhook de Admisión de seguridad de pods, puedes aplicar los mismos modos de Admisión de seguridad de pods y perfiles de Estándares de seguridad de pods en todos los espacios de nombres de Kubernetes. También puedes eximir los espacios de nombres. Sin el webhook de Admisión de seguridad de pods, debes aplicar los cambios a nivel de espacio de nombres individual.