プロファイル適用性: レベル1
ネットワークポリシーを使用して、クラスター ネットワーク内のトラフィックを分離します。
同じKubernetesクラスターで異なるアプリケーションを実行すると、侵害されたアプリケーションが隣接するアプリケーションを攻撃するリスクが生じます。ネットワークセグメンテーションは、コンテナが意図された相手とだけ通信できるようにするために重要です。ネットワークポリシーは、ポッドの選択が互いにおよび他のネットワークエンドポイントとどのように通信することを許可されているかの仕様です。
一度特定のポッドを選択するネットワークポリシーがネームスペース内に存在すると、そのポッドはネットワークポリシーで許可されていない接続をすべて拒否します。ネットワークポリシーによって選択されていないネームスペース内の他のポッドは、引き続きすべてのトラフィックを受け入れます。
 |
注意デフォルトでは、ネットワークポリシーは作成されません。
|
影響
一度特定のポッドを選択するネットワークポリシーがネームスペース内に存在すると、そのポッドはネットワークポリシーで許可されていない接続をすべて拒否します。ネットワークポリシーによって選択されていないネームスペース内の他のポッドは、引き続きすべてのトラフィックを受け入れます。
監査
以下のコマンドを実行し、クラスター内で作成された
NetworkPolicyオブジェクトを確認してください。kubectl get networkpolicy --all-namespaces
クラスター内で定義された各ネームスペースに少なくとも1つのネットワークポリシーがあることを確認してください。
修復
ドキュメントに従って、必要に応じて
NetworkPolicyオブジェクトを作成してください。