Kubernetes Pod Security Admission：Baseline/Restricted治理

YBB 10 阅读 0 评论 0 点赞

Kubernetes Pod Security Admission：Baseline/Restricted治理概览PSA 替代 PSP 提供命名空间级安全配置检查；通过标签启用不同严格度。在集群中逐步收紧策略，保障安全与兼容。技术参数（已验证）- 标签：`pod-security.kubernetes.io/enforce/audit/warn: baselinerestricted`；按命名空间控制。规则：限制特权容器、主机路径、`hostPID/IPC/Network`、`capabilities` 与 `runAsNonRoot` 等。例外：为特定命名空间或工作负载设置 `warn/audit` 过渡；记录违规并修复。协同：与 Admission Webhook/OPA/Kyverno 策略协同；避免冲突。观测：记录拒绝与警告事件；纳入安全看板与审计。实战清单为所有命名空间设置 `warn/audit` 并进阶到 `enforce`；定义例外流程。对工作负载进行修复与迁移；保持文档与治理台账。监控策略效果与拒绝率；持续优化与演练。

点赞(0) 打赏

本文分类：安全
本文标签：云原生" 安全 Kubernetes ["PodSecurityAdmission" "Baseline "Restricted" 特权策略
浏览次数：10 次浏览
发布日期：2026-02-13 00:01:11
本文链接：https://www.ybb.press/security/1818.html

上一篇 > Kubernetes Pod Security Admission基线与受限治理
下一篇 > Kubernetes Pod 安全标准（PSS、Admission 与 OPA Gatekeeper）

Kubernetes Pod Security Admission：Baseline/Restricted治理

评论列表共有 0 条评论

发表评论取消回复

Kubernetes Pod Security Admission：Baseline/Restricted治理

Docker Desktop 5.0 重大更新

&quot;Fetch Metadata 防护：Sec-Fetch 系列头的资源隔离策略&quot;

Fetch Metadata 请求元数据安全治理：Sec-Fetch 头与跨站威胁缓解实践

&quot;Fenced Frames：跨站内容隔离与安全渲染&quot;

评论列表 共有 0 条评论

发表评论 取消回复

"Fetch Metadata 防护：Sec-Fetch 系列头的资源隔离策略"

"Fenced Frames：跨站内容隔离与安全渲染"

评论列表共有 0 条评论

发表评论取消回复