プロファイル適用性: レベル2
ポッド定義で
RuntimeDefault seccompプロファイルを有効にします。Seccomp (セキュアコンピューティングモード) は、アプリケーションが行えるシステムコールのセットを制限するために使用され、クラスタ管理者がクラスタ内で実行されるワークロードのセキュリティをより制御できるようにします。Kubernetesは歴史的な理由からデフォルトでseccompプロファイルを無効にしています。コンテナ内でワークロードが制限されたアクションを利用できるようにするために有効にする必要があります。
 |
注意デフォルトでは、seccompプロファイルは
unconfinedに設定されており、seccompプロファイルが有効になっていないことを意味します。 |
影響
RuntimeDefaultseccompプロファイルが制限が厳しすぎる場合は、独自のLocalhostseccompプロファイルを作成/管理する必要があります。監査
以下のコマンドを使用して、クラスター内のすべてのネームスペースのポッド定義の出力を確認してください。
kubectl get pods --all-namespaces -o json | jq -r '.items[] |
select(.metadata.annotations."seccomp.security.alpha.kubernetes.io/pod" ==
"runtime/default" or .spec.securityContext.seccompProfile.type ==
"RuntimeDefault") | {namespace: .metadata.namespace, name: .metadata.name,
seccompProfile: .spec.securityContext.seccompProfile.type}'
修復
セキュリティコンテキストを使用して、ポッド定義で
RuntimeDefault seccompプロファイルを有効にします。以下はその例です。{
"namespace": "kube-system",
"name": "metrics-server-v0.7.0-dbcc8ddf6-gz7d4",
"seccompProfile": "RuntimeDefault"
}