プロファイル適用性: レベル2
クラスターネットワーク内のトラフィックを分離するためにネットワークポリシーを使用します。
同じKubernetesクラスターで異なるアプリケーションを実行すると、侵害されたアプリケーションが隣接するアプリケーションを攻撃するリスクが生じます。ネットワークセグメンテーションは、コンテナが本来通信すべき相手とだけ通信できるようにするために重要です。ネットワークポリシーは、ポッドの選択が互いにおよび他のネットワークエンドポイントと通信することを許可される方法の仕様です。
ネットワークポリシーはネームスペースにスコープされます。特定のネームスペースにネットワークポリシーが導入されると、そのポリシーで許可されていないすべてのトラフィックは拒否されます。しかし、ネームスペースにネットワークポリシーがない場合、そのネームスペース内のポッドへの出入りするすべてのトラフィックが許可されます。
 |
注意デフォルトでは、ネットワークポリシーは作成されません。
|
影響
特定のネームスペース内でネットワークポリシーが使用されると、ネットワークポリシーで明示的に許可されていないトラフィックは拒否されます。そのため、ネットワークポリシーを導入する際には、正当なトラフィックがブロックされないようにすることが重要です。
監査
以下のコマンドを実行し、クラスター内で作成された
NetworkPolicyオブジェクトを確認してください。kubectl get networkpolicy --all-namespaces ensure that each namespace defined in the cluster has at least one Network Policy.
修復
ドキュメントに従って
NetworkPolicyオブジェクトを必要に応じて作成してください。詳細については、Kubernetesのドキュメントを参照してください。