المهارات k8s-security-policies
🔒

k8s-security-policies

آمن

تنفيذ سياسات أمان Kubernetes

متاح أيضًا من: wshobson

قم بتأمين مجموعات Kubernetes الخاصة بك باستخدام سياسات الشبكة الجاهزة للإنتاج، وتكوينات RBAC، ومعايير أمان Pod. يوفر هذا Skill قوالب شاملة وأفضل الممارسات للأمان الدفاعي المتعدد الطبقات.

يدعم: Claude Codex Code(CC)
🥈 78 فضي
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "k8s-security-policies". إنشاء NetworkPolicy للرفض الافتراضي لـ Namespace للإنتاج

النتيجة المتوقعة:

بيانات NetworkPolicy كاملة مع podSelector فارغة وأنواع سياسات Ingress وEgress، لحظر جميع حركة المرور افتراضياً

استخدام "k8s-security-policies". إنشاء RBAC لدور مدير النشر

النتيجة المتوقعة:

Role مع صلاحيات للنشر (CRUD الكامل) وPods (للقراءة فقط)، بالإضافة إلى RoleBinding لإرفاق المستخدمين أو حسابات الخدمة

التدقيق الأمني

آمن
v1 • 2/25/2026

All static analyzer findings are false positives. The skill contains documentation and YAML templates for Kubernetes security configurations. Network pattern detections reference metadata endpoint blocking (security best practice), and external command findings are bash examples in Markdown documentation, not executable code.

3
الملفات التي تم فحصها
715
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

55
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
50
المجتمع
100
الأمان
91
الامتثال للمواصفات

ماذا يمكنك بناءه

مهندس DevSecOps

تنفيذ العزل الشبكي بين الخدمات المصغرة وفرض ضوابط الوصول بأقل امتياز لخطوط أنابيب CI/CD

قائد فريق المنصة

إنشاء خطوط أساس الأمان وضوابط الامتثال عبر مجموعات Kubernetes متعددة المستأجرين

مدقق الأمان

مراجعة والتحقق من تكوينات أمان Kubernetes الحالية مقابل معايير CIS وأطر NIST

جرّب هذه الموجهات

NetworkPolicy الأساسية 
إنشاء NetworkPolicy تسمح لحاويات Frontend بالتواصل مع حاويات Backend على المنفذ 8080 في Namespace للإنتاج
RBAC لحساب الخدمة 
إنشاء تكوين RBAC لحساب خدمة يحتاج إلى وصول للقراءة فقط لـ ConfigMaps في Namespace الافتراضي
Pod Security Standards 
تكوين تسميات Namespace لفرض Pod Security Standards المقيدة مع وضعي التدقيق والتحذير
إعداد الأمان الشامل 
إنشاء تكوين أمان شامل يتضمن NetworkPolicy للرفض الافتراضي، وRBAC للمطورين، وPod Security Standards لNamespace إنتاج جديد

أفضل الممارسات

  • ابدأ بـ NetworkPolicies للرفض الافتراضي، ثم اسمح بحركة المرور المطلوبة صراحةً
  • تطبيق مبدأ الامتياز الأقل لـ RBAC - منح الحد الأدنى من الصلاحيات المطلوبة
  • استخدم ServiceAccounts مخصصة لكل تطبيق بدلاً من ServiceAccount الافتراضي

تجنب

  • استخدام صلاحيات wildcard (*) في RBAC لأعباء عمل الإنتاج
  • تشغيل الحاويات كجذر أو مع سياق أمان متميز
  • السماح بحركة المرور غير المقيدة دون قواعد NetworkPolicy صريحة

الأسئلة المتكررة

ما هي إضافات CNI التي تدعم NetworkPolicy؟
تشمل إضافات CNI الشائعة مع دعم NetworkPolicy: Calico وCilium وWeave Net وAntrea. تحقق من وثائق مجموعتك للتوافق.
كيف أقوم باختبار تغييرات NetworkPolicy بأمان؟
طبق السياسات أولاً في وضع التدقيق أو التحذير، استخدم kubectl auth can-i لاختبار RBAC، واختبر في بيئات غير الإنتاج قبل النشر.
ما هو الفرق بين Role و ClusterRole؟
ال Roles محدودة بـ Namespace ومنح صلاحيات داخل Namespace واحد. الـ ClusterRoles على مستوى المجموعة ويمكن أن تمنح صلاحيات عبر جميع Namespaces.
هل Pod Security Policies لا تزال متاحة؟
تم استبعاد Pod Security Policies منذ Kubernetes 1.25 وإزالتها في 1.21. استخدم Pod Security Standards مع تسميات Namespace بدلاً منها.
كيف أسمح بحركة مرور DNS مع NetworkPolicy؟
أنشئ قاعدة egress تسمح بمنفذ UDP 53 إلى Namespace kube-system حيث تعمل عادةً حاويات DNS.
هل يمكنني حظر الوصول إلى نقاط بيانات السحابة؟
نعم، استخدم قواعد egress مع ipBlock.except لحظر 169.254.169.254/32، مما يمنع الحاويات من الوصول إلى نقاط بيانات AWS/Azure.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/k8s-security-policies

مرجع

main

بنية الملفات

📁 assets/

📄 network-policy-template.yaml

📁 references/

📄 rbac-patterns.md

📄 SKILL.md