k8s-security-policies
تنفيذ سياسات أمان Kubernetes وضوابط RBAC
También disponible en: sickn33
تحتاج مجموعات Kubernetes إلى سياسات أمان مناسبة للحماية من الوصول غير المصرح به وهجمات الشبكة. توفر هذه المهارة قوالب جاهزة للاستخدام لـ NetworkPolicy وRBAC ومعايير أمان الـ Pod.
Descargar el ZIP de la skill
Subir en Claude
Ve a Configuración → Capacidades → Skills → Subir skill
Activa y empieza a usar
Pruébalo
Usando "k8s-security-policies". Create a NetworkPolicy that allows frontend pods to talk to backend on port 8080
Resultado esperado:
- تم إنشاء NetworkPolicy للنطاق 'production'
- قاعدة Ingress: تسمح بحركة المرور من الـ pods ذات التسمية app=frontend
- الهدف: الـ pods ذات التسمية app=backend على منفذ TCP 8080
- يتم حظر جميع حركة المرور الواردة الأخرى إلى pods الخلفية
Usando "k8s-security-policies". Set up RBAC for a developer who needs read access to pods and deployments
Resultado esperado:
- تم إنشاء Role باسم 'developer-read' في النطاق 'development'
- الصلاحيات: get وlist وwatch على pods وdeployments
- RoleBinding باسم 'dev-team-read' يربط الدور بالمستخدم 'alice@company.com'
- لا توجد صلاحيات كتابة أو حذف
Auditoría de seguridad
SeguroThis skill contains Kubernetes security documentation and YAML templates. All static findings are false positives: the metadata endpoint IP is shown as an EXAMPLE OF WHAT TO BLOCK (security best practice), backtick patterns are markdown code fence syntax, and 'weak crypto' matches are Kubernetes resource names like 'cluster-admin'. No executable code or malicious patterns present.
Factores de riesgo
🌐 Acceso a red (4)
⚙️ Comandos externos (67)
Puntuación de calidad
Lo que puedes crear
تأمين مجموعات Kubernetes متعددة المستأجرين
تنفيذ عزل النطاقات باستخدام NetworkPolicy وRBAC لمنع الوصول بين المستأجرين في المجموعات المشتركة.
تحقيق الامتثال لمعايير الأمان
تطبيق ضوابط معيار CIS Kubernetes Benchmark باستخدام معايير أمان الـ Pod وتكوينات RBAC.
تهيئة وصول بأقل صلاحيات للخدمات
إنشاء ServiceAccounts وRoleBindings تمنح فقط الصلاحيات التي يحتاجها تطبيقك.
Prueba estos prompts
Create a NetworkPolicy that denies all ingress and egress traffic by default for the payments namespace.
Create a ClusterRole and RoleBinding that allows my CI/CD service account to deploy applications but not read secrets.
Apply restricted Pod Security Standards to my production namespace with audit logging for violations.
Design a complete security policy set for a microservices application with frontend, backend, and database tiers including NetworkPolicy, RBAC, and Pod Security contexts.
Mejores prácticas
- ابدأ بـ NetworkPolicy بمنع افتراضي وأضف قواعد السماح المحددة
- استخدم Roles ضمن النطاق بدلًا من ClusterRoles عندما يكون ذلك ممكنًا
- عطّل auto-mount لرمز ServiceAccount المميز للـ pods التي لا تحتاج وصولًا إلى API
Evitar
- لا تستخدم wildcard للأفعال أو الموارد في قواعد RBAC في الإنتاج
- لا تتجاوز فرض معايير أمان الـ Pod في نطاقات الإنتاج
- لا تمنح cluster-admin لحسابات ServiceAccount الخاصة بالتطبيقات
Preguntas frecuentes
لماذا لا تحظر NetworkPolicy حركة المرور لدي؟
ما الفرق بين Role وClusterRole؟
هل ينبغي استخدام Pod Security Policies أم Pod Security Standards؟
كيف أختبر ما إذا كانت صلاحيات RBAC تعمل؟
ما مستوى Pod Security Standard الذي ينبغي استخدامه للإنتاج؟
كيف أسمح بحركة مرور DNS مع سياسة منع افتراضي؟
Detalles del desarrollador
Autor
wshobsonLicencia
MIT
Repositorio
https://github.com/wshobson/agents/tree/main/plugins/kubernetes-operations/skills/k8s-security-policiesRef.
main
Estructura de archivos