🔐

k8s-security-policies

Name: k8s-security-policies
Author: wshobson

آمن 🌐 الوصول إلى الشبكة⚙️ الأوامر الخارجية

تنفيذ سياسات أمان Kubernetes وضوابط RBAC

تحتاج مجموعات Kubernetes إلى سياسات أمان مناسبة للحماية من الوصول غير المصرح به وهجمات الشبكة. توفر هذه المهارة قوالب جاهزة للاستخدام لـ NetworkPolicy وRBAC ومعايير أمان الـ Pod.

يدعم: Claude Codex Code(CC)

🥉 74 برونزي

تنزيل ZIP المهارة

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

فعّل وابدأ الاستخدام

اختبرها

استخدام "k8s-security-policies". Create a NetworkPolicy that allows frontend pods to talk to backend on port 8080

النتيجة المتوقعة:

تم إنشاء NetworkPolicy للنطاق 'production'
قاعدة Ingress: تسمح بحركة المرور من الـ pods ذات التسمية app=frontend
الهدف: الـ pods ذات التسمية app=backend على منفذ TCP 8080
يتم حظر جميع حركة المرور الواردة الأخرى إلى pods الخلفية

استخدام "k8s-security-policies". Set up RBAC for a developer who needs read access to pods and deployments

النتيجة المتوقعة:

تم إنشاء Role باسم 'developer-read' في النطاق 'development'
الصلاحيات: get وlist وwatch على pods وdeployments
RoleBinding باسم 'dev-team-read' يربط الدور بالمستخدم 'alice@company.com'
لا توجد صلاحيات كتابة أو حذف

التدقيق الأمني

آمن

v4 • 1/17/2026

This skill contains Kubernetes security documentation and YAML templates. All static findings are false positives: the metadata endpoint IP is shown as an EXAMPLE OF WHAT TO BLOCK (security best practice), backtick patterns are markdown code fence syntax, and 'weak crypto' matches are Kubernetes resource names like 'cluster-admin'. No executable code or malicious patterns present.

الملفات التي تم فحصها

900

الأسطر التي تم تحليلها

النتائج

إجمالي عمليات التدقيق

عوامل الخطر

🌐 الوصول إلى الشبكة (4)

assets/network-policy-template.yaml:126 assets/network-policy-template.yaml:124 assets/network-policy-template.yaml:126 skill-report.json:6

⚙️ الأوامر الخارجية (67)

تم تدقيقه بواسطة: claude عرض سجل التدقيق →

درجة الجودة

الهندسة المعمارية

100

قابلية الصيانة

المحتوى

المجتمع

100

الأمان

الامتثال للمواصفات

ماذا يمكنك بناءه

تأمين مجموعات Kubernetes متعددة المستأجرين

تنفيذ عزل النطاقات باستخدام NetworkPolicy وRBAC لمنع الوصول بين المستأجرين في المجموعات المشتركة.

تحقيق الامتثال لمعايير الأمان

تطبيق ضوابط معيار CIS Kubernetes Benchmark باستخدام معايير أمان الـ Pod وتكوينات RBAC.

تهيئة وصول بأقل صلاحيات للخدمات

إنشاء ServiceAccounts وRoleBindings تمنح فقط الصلاحيات التي يحتاجها تطبيقك.

جرّب هذه الموجهات

إنشاء سياسة منع افتراضي

Create a NetworkPolicy that denies all ingress and egress traffic by default for the payments namespace.

تصميم RBAC لـ CI/CD

Create a ClusterRole and RoleBinding that allows my CI/CD service account to deploy applications but not read secrets.

تهيئة معايير أمان الـ Pod

Apply restricted Pod Security Standards to my production namespace with audit logging for violations.

بناء مجموعة سياسات أمان كاملة

Design a complete security policy set for a microservices application with frontend, backend, and database tiers including NetworkPolicy, RBAC, and Pod Security contexts.

أفضل الممارسات

ابدأ بـ NetworkPolicy بمنع افتراضي وأضف قواعد السماح المحددة
استخدم Roles ضمن النطاق بدلًا من ClusterRoles عندما يكون ذلك ممكنًا
عطّل auto-mount لرمز ServiceAccount المميز للـ pods التي لا تحتاج وصولًا إلى API

تجنب

لا تستخدم wildcard للأفعال أو الموارد في قواعد RBAC في الإنتاج
لا تتجاوز فرض معايير أمان الـ Pod في نطاقات الإنتاج
لا تمنح cluster-admin لحسابات ServiceAccount الخاصة بالتطبيقات

الأسئلة المتكررة

لماذا لا تحظر NetworkPolicy حركة المرور لدي؟

تحقق من أن إضافة CNI لديك تدعم NetworkPolicy. كل من Calico وCilium وWeave تدعمها. Flannel لا يدعمها افتراضيًا.

ما الفرق بين Role وClusterRole؟

Role محدود بالنطاق ويمنح الوصول داخل نطاق واحد. ClusterRole على مستوى المجموعة ويمكنه منح الوصول عبر جميع النطاقات.

هل ينبغي استخدام Pod Security Policies أم Pod Security Standards؟

استخدم معايير أمان الـ Pod. تم إهمال PodSecurityPolicy منذ Kubernetes 1.21 وتمت إزالتها في 1.25.

كيف أختبر ما إذا كانت صلاحيات RBAC تعمل؟

استخدم الأمر kubectl auth can-i لاختبار الصلاحيات. مثال: kubectl auth can-i list pods --as system:serviceaccount:ns:sa

ما مستوى Pod Security Standard الذي ينبغي استخدامه للإنتاج؟

استخدم 'restricted' لأحمال العمل في الإنتاج. يفرض مستخدمين غير root وأنظمة ملفات للقراءة فقط وإسقاط القدرات.

كيف أسمح بحركة مرور DNS مع سياسة منع افتراضي؟

أضف قاعدة egress تسمح بمنفذ UDP 53 إلى نطاق kube-system حيث يعمل CoreDNS.

تفاصيل المطور

المؤلف

wshobson

الترخيص

MIT

المستودع

https://github.com/wshobson/agents/tree/main/plugins/kubernetes-operations/skills/k8s-security-policies

مرجع

main

بنية الملفات

📁 assets/

📄 network-policy-template.yaml

📁 references/

📄 rbac-patterns.md

📄 SKILL.md