AKS | Pod Security Policy (PSP)

Bonjour,

Dans cet article nous allons voir ensemble comment activer la fonctionnalité de « Pod Security Policy » connue également sous le nom de PSP dans un cluster AKS.

PodSecurityPolicy est un contrôleur d’admission qui confirme si une spécification de pod répond à vos besoins définis. Ces exigences peuvent limiter l’utilisation de conteneurs privilégiés, l’accès à certains types de stockage, ou l’utilisateur/groupe sous lequel le conteneur peut s’exécuter.

Lorsque vous tentez de déployer une ressource où les spécifications de pod ne répondent pas aux exigences décrites dans la stratégie de sécurité des pods, la requête est refusée. Ce contrôle sur les pods pouvant être planifiés dans le cluster AKS empêche d’éventuelles vulnérabilités de sécurité ou des escalades de privilèges.

Control Aspect	Field Names
Running of privileged containers	`privileged`
Usage of host namespaces	`hostPID`, `hostIPC`
Usage of host networking and ports	`hostNetwork`, `hostPorts`
Usage of volume types	`volumes`
Usage of the host filesystem	`allowedHostPaths`
White list of FlexVolume drivers	`allowedFlexVolumes`
Allocating an FSGroup that owns the pod’s volumes	`fsGroup`
Requiring the use of a read only root file system	`readOnlyRootFilesystem`
The user and group IDs of the container	`runAsUser`, `runAsGroup`, `supplementalGroups`
Restricting escalation to root privileges	`allowPrivilegeEscalation`, `defaultAllowPrivilegeEscalation`
Linux capabilities	`defaultAddCapabilities`, `requiredDropCapabilities`, `allowedCapabilities`
The SELinux context of the container	`seLinux`
The Allowed Proc Mount types for the container	`allowedProcMountTypes`
The AppArmor profile used by containers	annotations
The seccomp profile used by containers	annotations
The sysctl profile used by containers	`forbiddenSysctls`,`allowedUnsafeSysctls`

Activer la fonctionnalité PSP dans un cluster AKS existant:

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed 
az extension update --name aks-preview

az feature register --name PodSecurityPolicyPreview --namespace Microsoft.ContainerService

az feature list -o table --query "[?contains(name, 'Microsoft.ContainerService/PodSecurityPolicyPreview')].{Name:name,State:properties.state}"

az provider register --namespace Microsoft.ContainerService

# Enable Pod Security Policy
az aks update \
     --resource-group myResourceGroup \
     --name myAKSCluster \
     --enable-pod-security-policy

Documentations :

https://docs.microsoft.com/fr-fr/azure/aks/use-pod-security-policies

https://kubernetes.io/docs/concepts/policy/pod-security-policy/

ZiGMaX IT Blog

AKS | Pod Security Policy (PSP)

Démarrez une conversation