k8s-security-policies
Implementieren von Kubernetes-Sicherheitsrichtlinien und RBAC-Steuerungen
Kubernetes-Cluster benötigen geeignete Sicherheitsrichtlinien, um unbefugten Zugriff und Netzwerkangriffe zu verhindern. Diese Fähigkeit bietet sofort einsetzbare Vorlagen für NetworkPolicy, RBAC und Pod Security Standards.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "k8s-security-policies". Create a NetworkPolicy that allows frontend pods to talk to backend on port 8080
Résultat attendu:
- NetworkPolicy created for namespace 'production'
- Ingress rule: allows traffic from pods with label app=frontend
- Target: pods with label app=backend on TCP port 8080
- All other ingress traffic to backend pods is denied
Utilisation de "k8s-security-policies". Set up RBAC for a developer who needs read access to pods and deployments
Résultat attendu:
- Role 'developer-read' created in namespace 'development'
- Permissions: get, list, watch on pods and deployments
- RoleBinding 'dev-team-read' binds role to user 'alice@company.com'
- No write or delete permissions granted
Audit de sécurité
SûrThis skill contains Kubernetes security documentation and YAML templates. All static findings are false positives: the metadata endpoint IP is shown as an EXAMPLE OF WHAT TO BLOCK (security best practice), backtick patterns are markdown code fence syntax, and 'weak crypto' matches are Kubernetes resource names like 'cluster-admin'. No executable code or malicious patterns present.
Facteurs de risque
🌐 Accès réseau (4)
⚙️ Commandes externes (67)
Score de qualité
Ce que vous pouvez construire
Sichere Mehrfach-Mieter-Kubernetes-Cluster
Implementieren Sie Namespace-Isolierung mit NetworkPolicy und RBAC, um Cluster-übergreifenden Zugriff zwischen Mandanten in gemeinsam genutzten Clustern zu verhindern.
Erreichen der Compliance mit Sicherheitsstandards
Wenden Sie CIS Kubernetes Benchmark-Kontrollen mit Pod Security Standards und RBAC-Konfigurationen an.
Konfigurieren von Least-Privilege-Zugriff für Dienste
Erstellen Sie ServiceAccounts und RoleBindings, die nur die Berechtigungen gewähren, die Ihre Anwendung benötigt.
Essayez ces prompts
Erstellen Sie eine NetworkPolicy, die standardmäßig den gesamten Ingress- und Egress-Verkehr für den payments-Namespace verweigert.
Erstellen Sie eine ClusterRole und RoleBinding, die es meinem CI/CD-Service-Account ermöglicht, Anwendungen bereitzustellen, aber keine Secrets zu lesen.
Wenden Sie eingeschränkte Pod Security Standards auf meinen Production-Namespace mit Audit-Logging für Verstöße an.
Entwerfen Sie einen vollständigen Sicherheitsrichtliniensatz für eine Microservices-Anwendung mit Frontend-, Backend- und Datenbank-Ebenen, einschließlich NetworkPolicy, RBAC und Pod Security-Kontexten.
Bonnes pratiques
- Beginnen Sie mit einer Default-Deny NetworkPolicy und fügen Sie dann spezifische Allow-Regeln hinzu
- Verwenden Sie namespace-scoped Roles anstelle von ClusterRoles, wann immer möglich
- Deaktivieren Sie die ServiceAccount-Token-Auto-Montage für Pods, die keinen API-Zugriff benötigen
Éviter
- Verwenden Sie keine Wildcard-Verbs oder -Resources in Produktions-RBAC-Regeln
- Überspringen Sie nicht die Pod Security Standards-Durchsetzung in Produktion-Namespaces
- Gewähren Sie keinen Cluster-Admin an application ServiceAccounts