Risks

Ungewollte Kommunikation in Kubernetes unterbinden

Network-Policies in Kubernetes-Containern

Pods können mit End-Points und Services ohne weitere Einschränkungen kommunizieren.

Wird ein Container oder Pod angegriffen, versucht der Angreifer für gewöhnlich auf andere Container oder Pods oder auf die Maschine selbst zuzugreifen. Network-Policies wirken diesem Angriffsversuch entgegen.

Wir raten an, eine Network-Policy mit der „Deny-All“-Rolle in jedem Namespace zu erstellen und gleichermaßen von der Nutzung sogenannter globaler Network-Policies abzusehen. Oft sind diese aus administrativer Sicht verwirrend und stellen ein Sicherheitsrisiko dar.

  apiVersion: networking.k8s.io/v1
  kind: NetworkPolicy
  metadata:
    name: deny-all
    namespace: default ### should be created for all namespaces!
 spec:
    podSelector: {}
    policyTypes:
    - Ingress
    - Egress

Mithilfe von erweiterten Network-Policies ist den Pods die Kommunikation erneut zu gestatten.

Wir empfehlen zumindest einen Verantwortlichen für die Network-Policies zu wählen.

Orientieren Sie sich an folgenden Maßnahmen:

Sie haben Fragen?

Wenn Sie Fragen haben, die noch nicht beantwortet sind, können Sie sich gerne an uns wenden.

Wir freuen uns auf den Kontakt mit Ihnen!

Design Escapes

KubeOps GmbH
Hinter Stöck 17
72406 Bisingen
Germany

  • Telefon:

    +49 7433 93724 90

  • Mail:

    Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Impressum
Downloadbereich
Zertifiziert als:

Die KubeOps GmbH ist Inhaberin der Unionsmarke KubeOps mit der Registrierungsnummer 018305184.

©KubeOps GmbH. Alle Rechte vorbehalten. Tochtergesellschaft der