プロファイル適用性: レベル1
ネットワークポリシーを使用して、クラスター ネットワーク内のトラフィックを分離します。
同じKubernetesクラスターで異なるアプリケーションを実行すると、侵害されたアプリケーションが隣接するアプリケーションを攻撃するリスクが生じます。ネットワークセグメンテーションは、コンテナが意図された相手とだけ通信できるようにするために重要です。ネットワークポリシーは、ポッドの選択が互いにおよび他のネットワークエンドポイントとどのように通信することを許可されるかの仕様です。
特定のポッドを選択するネットワークポリシーが名前空間に存在する場合、そのポッドはネットワークポリシーで許可されていない接続をすべて拒否します。ネットワークポリシーによって選択されていない名前空間内の他のポッドは、引き続きすべてのトラフィックを受け入れます。
 |
注意デフォルトでは、ネットワークポリシーは作成されません。
|
影響
特定のポッドを選択するネットワークポリシーが名前空間に存在する場合、そのポッドはネットワークポリシーで許可されていない接続をすべて拒否します。ネットワークポリシーによって選択されていない名前空間内の他のポッドは、引き続きすべてのトラフィックを受け入れます。
監査
以下のコマンドを実行し、クラスター内で作成された
NetworkPolicyオブジェクトを確認してください。kubectl get networkpolicy --all-namespaces
クラスター内で定義された各ネームスペースに少なくとも1つのネットワークポリシーがあることを確認してください。
修復
ドキュメントに従って、必要に応じて
NetworkPolicyオブジェクトを作成してください。