プロファイル適用性: レベル2
ネットワークポリシーを使用して、クラスターのネットワーク内のトラフィックを分離します。
同じKubernetesクラスターで異なるアプリケーションを実行すると、侵害されたアプリケーションが隣接するアプリケーションを攻撃するリスクが生じます。ネットワークセグメンテーションは、コンテナが意図された相手とだけ通信できるようにするために重要です。ネットワークポリシーは、ポッドの選択が互いにおよび他のネットワークエンドポイントとどのように通信することを許可されているかの仕様です。
特定のポッドを選択するネットワークポリシーが名前空間に存在する場合、そのポッドはネットワークポリシーで許可されていない接続を拒否します。名前空間内の他のポッドは、ネットワークポリシーで選択されていない限り、すべてのトラフィックを受け入れ続けます。
 |
注意デフォルト値: デフォルトでは、ネットワークポリシーは作成されません。
|
影響
特定のポッドを選択するネットワークポリシーが名前空間に存在する場合、そのポッドはネットワークポリシーで許可されていない接続を拒否します。名前空間内の他のポッドは、ネットワークポリシーで選択されていない限り、すべてのトラフィックを受け入れ続けます。
監査
以下のコマンドを実行し、クラスター内で作成された
NetworkPolicyオブジェクトを確認してください。kubectl get networkpolicy --all-namespaces
クラスター内で定義された各ネームスペースに少なくとも1つのネットワークポリシーがあることを確認してください。
修復
ドキュメントに従って、必要に応じて
NetworkPolicyオブジェクトを作成してください。