プロファイル適用性: レベル 1
allowedHostPathを使用して、頻繁に悪用されるコンテナ機能を拒否します。
監査
次のコマンドを実行し、名前空間のメタデータ注釈を確認してください:
kubectl get namespaces
アノテーション
pod-security.kubernetes.io/enforceがrestrictedと等しく、pod-security.kubernetes.io/allowedHostPathがfalseと等しいことを確認してください。修復
Pod Security Admission (PSA) を使用して、名前空間レベルで「restricted」セキュリティモードを適用します。制限されたポリシーを強制し、allowedHostPathを構成するために、名前空間に関連する注釈を追加します。
あるいは、Kyvernoポリシーを作成して適用し、hostPathの使用を制限するか、Open Policy Agent (OPA) Gatekeeperを使用して許可されたhostPathの制約テンプレートを作成し、ポリシーを強制適用します。
AWS EKS クラスターには、Kyverno または OPA Gatekeeper を推奨します。OpenShift では、ユーザ/グループに割り当てられた Security
Context Constraint (SCC) が hostPath を許可しないことを確認してください。