プロファイル適用性: レベル2
ポッド定義で
RuntimeDefault seccompプロファイルを有効にします。Seccomp (セキュアコンピューティングモード) は、アプリケーションが行えるシステムコールのセットを制限するために使用され、クラスタ管理者がクラスタ内で実行されるワークロードのセキュリティをより制御できるようにします。Kubernetesは歴史的な理由から
seccompプロファイルをデフォルトで無効にしています。コンテナ内でワークロードが制限されたアクションを持つことを確実にするために、有効にする必要があります。 |
注意デフォルトでは、seccompプロファイルは
unconfinedに設定されており、seccompプロファイルは有効になっていません。 |
影響
RuntimeDefaultseccompプロファイルが制限が厳しすぎる場合は、独自のLocalhostseccompプロファイルを作成/管理する必要があります。監査
以下のコマンドを使用して、クラスタ内のすべてのネームスペースのポッド定義の出力を確認してください。
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.metadata.annotations."seccomp.security.alpha.kubernetes.io/pod" == "runtime/default" or .spec.securityContext.seccompProfile.type == "RuntimeDefault") | {namespace: .metadata.namespace, name: .metadata.name, seccompProfile: .spec.securityContext.seccompProfile.type}'
修復
セキュリティコンテキストを使用して、ポッド定義で
RuntimeDefault seccompプロファイルを有効にします。以下はその例です。{ "namespace": "kube-system", "name": "metrics-server-v0.7.0-dbcc8ddf6-gz7d4", "seccompProfile": "RuntimeDefault" }