Fähigkeiten k8s-security-policies
🔒

k8s-security-policies

Sicher

Kubernetes-Sicherheitsrichtlinien implementieren

Auch verfügbar von: wshobson

Sichern Sie Ihre Kubernetes-Cluster mit produktionsreifen Netzwerkrichtlinien, RBAC-Konfigurationen und Pod-Sicherheitsstandards. Diese Skill bietet umfassende Vorlagen und Best Practices für Defense-in-Depth-Sicherheit.

Unterstützt: Claude Codex Code(CC)
🥈 78 Silber
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "k8s-security-policies". Erstellen Sie eine Standardverweigern-NetworkPolicy für den Production-Namespace

Erwartetes Ergebnis:

Ein vollständiges NetworkPolicy-Manifest mit leerem podSelector und sowohl Ingress- als auch Egress-Richtlinientypen, das standardmäßig allen Traffic blockiert

Verwendung von "k8s-security-policies". Generieren Sie RBAC für eine Deployment-Manager-Rolle

Erwartetes Ergebnis:

Eine Rolle mit Berechtigungen für Deployments (vollständiges CRUD) und Pods (nur Lesen), plus ein RoleBinding um Benutzer oder Service-Accounts anzuhängen

Sicherheitsaudit

Sicher
v1 • 2/25/2026

All static analyzer findings are false positives. The skill contains documentation and YAML templates for Kubernetes security configurations. Network pattern detections reference metadata endpoint blocking (security best practice), and external command findings are bash examples in Markdown documentation, not executable code.

3
Gescannte Dateien
715
Analysierte Zeilen
0
befunde
1
Gesamtzahl Audits
Keine Sicherheitsprobleme gefunden
Auditiert von: claude

Qualitätsbewertung

55
Architektur
100
Wartbarkeit
87
Inhalt
50
Community
100
Sicherheit
91
Spezifikationskonformität

Was du bauen kannst

DevSecOps Engineer

Netzwerkisolation zwischen Microservices implementieren und Least-Privilege-Zugriffskontrollen für CI/CD-Pipelines durchsetzen

Platform Team Lead

Sicherheitsbaselines und Compliance-Kontrollen über mandantenfähige Kubernetes-Cluster hinweg etablieren

Security Auditor

Vorhandene Kubernetes-Sicherheitskonfigurationen gegen CIS-Benchmarks und NIST-Frameworks überprüfen und validieren

Probiere diese Prompts

Basis-Netzwerkrichtlinie 
Erstellen Sie eine NetworkPolicy, die es Frontend-Pods erlaubt, mit Backend-Pods über Port 8080 im Production-Namespace zu kommunizieren
RBAC für Service Account 
Generieren Sie eine RBAC-Konfiguration für einen Service Account, der nur Lesezugriff auf ConfigMaps im default-Namespace benötigt
Pod Security Standards 
Konfigurieren Sie Namespace-Labels, um eingeschränkte Pod Security Standards mit Audit- und Warnmodus durchzusetzen
Vollständige Sicherheitseinrichtung 
Erstellen Sie eine umfassende Sicherheitskonfiguration mit Standardverweigern-NetworkPolicy, RBAC für Entwickler und Pod Security Standards für einen neuen Production-Namespace

Bewährte Verfahren

  • Beginnen Sie mit Standardverweigern-NetworkPolicies, dann erlauben Sie explizit erforderlichen Traffic
  • Wenden Sie das Least-Privilege-Prinzip für RBAC an - gewähren Sie minimale erforderliche Berechtigungen
  • Verwenden Sie dedizierte ServiceAccounts für jede Anwendung anstelle des Standard-ServiceAccounts

Vermeiden

  • Verwendung von Wildcard (*) Berechtigungen in RBAC für Produktionsworkloads
  • Ausführen von Containern als Root oder mit privilegiertem Security-Kontext
  • Unbeschränkten Egress-Traffic ohne explizite NetworkPolicy-Regeln erlauben

Häufig gestellte Fragen

Welche CNI-Plugins unterstützen NetworkPolicy?
Beliebte CNIs mit NetworkPolicy-Unterstützung sind Calico, Cilium, Weave Net und Antrea. Überprüfen Sie Ihre Cluster-Dokumentation auf Kompatibilität.
Wie teste ich NetworkPolicy-Änderungen sicher?
Wenden Sie Richtlinien zuerst im Audit- oder Warnmodus an, verwenden Sie kubectl auth can-i für RBAC-Tests und testen Sie in Nicht-Produktionsumgebungen vor dem Deployment.
Was ist der Unterschied zwischen Role und ClusterRole?
Rollen sind Namespace-berechtigt und gewähren Berechtigungen innerhalb eines einzelnen Namespaces. ClusterRoles sind Cluster-weit und können Berechtigungen über alle Namespaces hinweg gewähren.
Sind Pod Security Policies noch verfügbar?
Pod Security Policies sind seit Kubernetes 1.21 veraltet und wurden in 1.25 entfernt. Verwenden Sie stattdessen Pod Security Standards mit Namespace-Labels.
Wie erlaube ich DNS-Traffic mit NetworkPolicy?
Erstellen Sie eine Egress-Regel, die UDP-Port 53 zum kube-system-Namespace erlaubt, wo DNS-Pods typischerweise laufen.
Kann ich den Zugriff auf Cloud-Metadaten-Endpunkte blockieren?
Ja, verwenden Sie NetworkPolicy-Egress-Regeln mit ipBlock.except um 169.254.169.254/32 zu blockieren und zu verhindern, dass Pods auf AWS/Azure-Metadatendienste zugreifen.

Entwicklerdetails

Autor

sickn33

Lizenz

MIT

Repository

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/k8s-security-policies

Ref

main

Dateistruktur

📁 assets/

📄 network-policy-template.yaml

📁 references/

📄 rbac-patterns.md

📄 SKILL.md