プロファイル適用性: レベル2
ポッド定義で
RuntimeDefault
seccompプロファイルを有効にします。Seccomp (セキュアコンピューティングモード) は、アプリケーションが行えるシステムコールのセットを制限するために使用され、クラスタ管理者がクラスタ内で実行されるワークロードのセキュリティをより制御できるようにします。Kubernetesは歴史的な理由からデフォルトでseccompプロファイルを無効にしています。コンテナ内でワークロードが制限されたアクションを利用できるようにするために有効にする必要があります。
![]() |
注意デフォルトでは、seccompプロファイルは
unconfined に設定されており、seccompプロファイルが有効になっていないことを意味します。 |
影響
RuntimeDefault
seccompプロファイルが制限が厳しすぎる場合は、独自のLocalhost
seccompプロファイルを作成/管理する必要があります。監査
以下のコマンドを使用して、クラスター内のすべてのネームスペースのポッド定義の出力を確認してください。
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.metadata.annotations."seccomp.security.alpha.kubernetes.io/pod" == "runtime/default" or .spec.securityContext.seccompProfile.type == "RuntimeDefault") | {namespace: .metadata.namespace, name: .metadata.name, seccompProfile: .spec.securityContext.seccompProfile.type}'
修復
セキュリティコンテキストを使用して、ポッド定義で
RuntimeDefault
seccompプロファイルを有効にします。以下はその例です。{ "namespace": "kube-system", "name": "metrics-server-v0.7.0-dbcc8ddf6-gz7d4", "seccompProfile": "RuntimeDefault" }