プロファイル適用性: レベル2
Kubernetesはデフォルトのネームスペースを提供しており、ネームスペースが指定されていない場合、オブジェクトはこのネームスペースに配置されます。このネームスペースにオブジェクトを配置すると、RBACやその他の制御の適用がより困難になります。
Kubernetesクラスター内のリソースは、セキュリティ制御をそのレベルで適用できるようにし、リソース管理を容易にするために、ネームスペースによって分離されるべきです。
 |
注意名前空間がオブジェクト作成時に指定されていない場合、
default名前空間が使用されます。 |
監査
GKEクラスターのデフォルトネームスペース内のすべてのKubernetesオブジェクトを一覧表示するには、次を使用します:
kubectl get all -n default
または
kubectl get all -n default -o wide
デフォルトのネームスペース内のすべてのリソースタイプの完全なインベントリが必要な場合:
kubectl get all,configmaps,secrets,pvc,ingress,serviceaccounts,networkpolicies -n default
修復
Kubernetesリソースの適切な分離を可能にするために、名前空間が作成されていることを確認し、すべての新しいリソースが特定の名前空間で作成されるようにしてください。