Network Policies - определяет какие Pods и Endpoints могут взаимодействовать по сети друг с другом (такой кластерный firewall). Это очень важная с точки зрения безопасности сущность, которая позволяет реализовать концепцию микросегментации. Сразу стоит учесть, что в Kubernetes есть поддержка (начиная с 1.6), а реализация лежит на CNI плагинах. Забавно что в любом случае можно применить политику, только она не будет действовать если нет поддержки.
По умолчанию, любой Pod не изолирован на получение и отправку данных. В политике можно описать правила как для входящего (ingress), так и исходящего (egress) трафика - работает это по принципу whitelist.
Определенную сложность в чтение политик вносит возможность не объявлять, оставлять пустыми некоторые поля, типа: namespace, PodSelector, policyTypes, что по разному будет влиять в случае ingress и egress трафика.
Для старта можно взять Kubernetes Network Policy Recipes.

k8s (in)security

Network Policies - определяет какие Pods и Endpoints могут взаимодействовать по сети друг с другом (такой кластерный firewall). Это очень важная с точки зрения безопасности сущность, которая позволяет реализовать концепцию микросегментации. Сразу стоит учесть, что в Kubernetes есть поддержка (начиная с 1.6), а реализация лежит на CNI плагинах. Забавно что в любом случае можно применить политику, только она не будет действовать если нет поддержки.
По умолчанию, любой Pod не изолирован на получение и отправку данных. В политике можно описать правила как для входящего (ingress), так и исходящего (egress) трафика - работает это по принципу whitelist.
Определенную сложность в чтение политик вносит возможность не объявлять, оставлять пустыми некоторые поля, типа: namespace, PodSelector, policyTypes, что по разному будет влиять в случае ingress и egress трафика.
Для старта можно взять Kubernetes Network Policy Recipes.

hottg.com/k8security/48

731 viewsD1g1, edited  May 8, 2020 at 13:42