Het ontwerpen van Kubernetes-beveiligingsbeleid met Pod Security Policies (PSP) voor Kubernetes 1.22 vereist aandacht voor verschillende aspecten. Hoewel PSP in Kubernetes 1.22 wordt afgekondigd voor deprecatie en uiteindelijk uitfasering, wordt het nog ondersteund, maar het is verstandig om te overwegen om over te stappen op andere beveiligingsmechanismen zoals Pod Security Admission (PSA). Hieronder geef ik aanbevelingen en best practices voor PSP en hoe je beveiligingsnormen kunt afdwingen: **1. Algemene aanbevelingen voor PSP:** - **Gebruik strikte policies** die alleen de noodzakelijke privileges toestaan. - **Beperk privileges** door het uitsluiten van privileged mode, hostNetwerken en hostPID/IPC. - **Reguleer volumetypes** door only to allow volumes die je daadwerkelijk nodig hebt. - **Gebruik namespaces en labels** om beleid te isoleren en te beheren. **2. Beheer van pod-privileges:** - **Voorkom privileged containers:** ```yaml allowedHostPaths: [] allowPrivilegeEscalation: false privileged: false ``` - **Beperk capabilities:** ```yaml requiredDropCapabilities: - ALL ``` - **Gebruik `runAsUser` en `runAsNonRoot`:** ```yaml runAsUser: rule: MustRunAsNonRoot ``` **3. Beperking van host-netwerken:** - **Voorkeur voor het uitschakelen van hostNet:** ```yaml hostNetwork: false ``` - In PSP: ```yaml allowedHostNetworkNamespaces: [] ``` - **In de policy:** ```yaml hostNetwork: false ``` **4. Controle op volumetypes:** - **Beperk volumetypes tot noodzakelijke types:** ```yaml volumes: - configMap - secret - emptyDir ``` - In PSP: ```yaml allowedVolumes: - configMap - secret - emptyDir ``` **5. Handhavingsstrategieën:** - **Gebruik Pod Security Admission (PSA)** om beleid te implementeren, omdat PSP wordt uitgefaseerd. - **Automatiseer controle en naleving** via CI/CD pipelines. - **Monitor en rapporteer** met tools zoals Kubernetes audit logs en security scanners. - **Implementeer Role-Based Access Control (RBAC)** om wie PSP's kan aanpassen te beperken. - **Gebruik mutating/validating admission controllers** voor extra controle. **6. Compatibiliteit met Kubernetes 1.22:** - **PSP is nog ondersteund**, maar wordt afgekondigd voor deprecatie. - Overweeg **overgang naar Pod Security Admission (PSA)** dat standaard in Kubernetes 1.23 wordt geïntroduceerd en meer geïntegreerd is. - Zorg dat je policies niet te complex worden; houd ze overzichtelijk en evalueer regelmatig. **7. Specifieke beveiligingsinstelling voor niet-privileged containers:** - In de PSP: ```yaml privileged: false allowPrivilegeEscalation: false requiredDropCapabilities: - ALL runAsUser: rule: MustRunAsNonRoot ``` --- **Samenvatting**: - Gebruik PSP om toegang tot privileges, hostNetwerken en volumetypes te beperken. - Beperk pod-privileges door `privileged: false`, `allowPrivilegeEscalation: false`, en het beperken van capabilities. - Beperk het gebruik van hostNet en controleer volumetypes. - Overweeg de overstap naar Pod Security Admission voor toekomstige compatibiliteit. - Combineer PSP-beleid met RBAC, auditlogs en monitoring voor optimale beveiliging. Indien je hulp nodig hebt bij het schrijven van concrete YAML-configuraties of een migratieplan, vraag gerust!

Hier is een uitgebreide Kubernetes-configuratie voor Pod Security Policies (PSP) specifiek voor versie 1.22, met aandacht voor uw beveiligingseisen: ## ⚠️ Belangrijke Opmerking voor Kubernetes 1.22 Pod Security Policies zijn **deprecated** in versie 1.21 en **verwijderd** in 1.25. Voor versie 1.22 raad ik aan om te migreren naar **Pod Security Standards**. Ik geef beide oplossingen: ## 1. Pod Security Policy (PSP) Configuratie ### PSP Definition ```yaml apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: restricted-psp annotations: seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'runtime/default' apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default' spec: privileged: false # Voorkom privileged containers allowPrivilegeEscalation: false requiredDropCapabilities: - ALL allowedCapabilities: [] # Geen extra capabilities toegestaan # Host netwerk en namespaces beperken hostNetwork: false hostIPC: false hostPID: false # Volume restricties volumes: - 'configMap' - 'emptyDir' - 'persistentVolumeClaim' - 'secret' - 'downwardAPI' - 'projected' # Host paden beperken allowedHostPaths: [] # SELinux en RunAsUser restricties runAsUser: rule: 'MustRunAsNonRoot' seLinux: rule: 'RunAsAny' fsGroup: rule: 'RunAsAny' ``` ### RBAC Configuration ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: psp-restricted rules: - apiGroups: ['policy'] resources: ['podsecuritypolicies'] verbs: ['use'] resourceNames: ['restricted-psp'] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: psp-restricted-binding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: psp-restricted subjects: - kind: Group name: system:authenticated apiGroup: rbac.authorization.k8s.io ``` ## 2. Pod Security Standards (Aanbevolen voor toekomst) ### Namespace Labeling ```yaml apiVersion: v1 kind: Namespace metadata: name: my-app labels: pod-security.kubernetes.io/enforce: restricted pod-security.kubernetes.io/audit: restricted pod-security.kubernetes.io/warn: restricted ``` ### Admission Configuration ```yaml apiVersion: apiserver.config.k8s.io/v1 kind: AdmissionConfiguration plugins: - name: PodSecurity configuration: apiVersion: pod-security.admission.config.k8s.io/v1beta1 kind: PodSecurityConfiguration defaults: enforce: "restricted" enforce-version: "latest" audit: "restricted" audit-version: "latest" warn: "restricted" warn-version: "latest" exemptions: usernames: [] runtimeClasses: [] namespaces: ["kube-system"] ``` ## 3. Specifieke Beveiligingsmaatregelen ### Privileged Mode Preventie ```yaml # NetworkPolicy voor extra isolatie apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: deny-privileged spec: podSelector: {} policyTypes: - Ingress - Egress ``` ### SecurityContext voor Workloads ```yaml apiVersion: apps/v1 kind: Deployment metadata: name: secure-app spec: template: spec: securityContext: runAsNonRoot: true runAsUser: 1000 runAsGroup: 3000 fsGroup: 2000 containers: - name: app image: nginx:latest securityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL readOnlyRootFilesystem: true ``` ## 4. Handhavingsstrategieën ### 1. **Namespace-based Enforcement** ```bash # Labels toepassen op namespaces kubectl label namespace default pod-security.kubernetes.io/enforce=restricted ``` ### 2. **Validatie met Kube-bench** ```bash # Security scanning uitvoeren kube-bench run --targets node ``` ### 3. **Monitoring en Auditing** ```yaml apiVersion: audit.k8s.io/v1 kind: Policy rules: - level: Metadata resources: - group: "" resources: ["pods"] ``` ## 5. Migratie Plan naar Kubernetes 1.25+ ### Stappenplan: 1. **Implementeer Pod Security Standards** naast bestaande PSP 2. **Test workloads** met beide systemen 3. **Verwijder PSP gradually** na succesvolle migratie 4. **Update naar Kubernetes 1.25+** na volledige migratie ## 6. Validatie Commands ```bash # Check PSP status kubectl get psp # Test pod creatie kubectl auth can-i use podsecuritypolicy/restricted-psp # Check namespace labels kubectl get namespaces --show-labels ``` ## Aanbevelingen voor Uw Specifieke Eisen: 1. **Privileged Mode**: De PSP blokkeert `privileged: true` volledig 2. **Host Network**: `hostNetwork: false` voorkomt host network usage 3. **Volume Types**: Alleen toegestane volumes in de whitelist 4. **Capabilities**: ALL capabilities worden gedropped **Belangrijk**: Begin met de `audit` mode voor Pod Security Standards om compatibiliteit te testen voordat u naar `enforce` overgaat.