k8s-security-policies
Implementar políticas de seguridad de Kubernetes y controles RBAC
Los clústeres de Kubernetes necesitan políticas de seguridad adecuadas para protegerse contra accesos no autorizados y ataques de red. Esta habilidad proporciona plantillas listas para usar para NetworkPolicy, RBAC y Pod Security Standards.
Descargar el ZIP de la skill
Subir en Claude
Ve a Configuración → Capacidades → Skills → Subir skill
Activa y empieza a usar
Pruébalo
Usando "k8s-security-policies". Create a NetworkPolicy that allows frontend pods to talk to backend on port 8080
Resultado esperado:
- NetworkPolicy created for namespace 'production'
- Ingress rule: allows traffic from pods with label app=frontend
- Target: pods with label app=backend on TCP port 8080
- All other ingress traffic to backend pods is denied
Usando "k8s-security-policies". Set up RBAC for a developer who needs read access to pods and deployments
Resultado esperado:
- Role 'developer-read' created in namespace 'development'
- Permissions: get, list, watch on pods and deployments
- RoleBinding 'dev-team-read' binds role to user 'alice@company.com'
- No write or delete permissions granted
Auditoría de seguridad
SeguroThis skill contains Kubernetes security documentation and YAML templates. All static findings are false positives: the metadata endpoint IP is shown as an EXAMPLE OF WHAT TO BLOCK (security best practice), backtick patterns are markdown code fence syntax, and 'weak crypto' matches are Kubernetes resource names like 'cluster-admin'. No executable code or malicious patterns present.
Factores de riesgo
🌐 Acceso a red (4)
⚙️ Comandos externos (67)
Puntuación de calidad
Lo que puedes crear
Asegurar clústeres de Kubernetes multi-tenant
Implementar aislamiento de espacios de nombres con NetworkPolicy y RBAC para evitar el acceso entre tenants en clústeres compartidos.
Cumplir con estándares de seguridad
Aplicar controles del CIS Kubernetes Benchmark usando Pod Security Standards y configuraciones de RBAC.
Configurar acceso de mínimo privilegio para servicios
Crear ServiceAccounts y RoleBindings que otorguen solo los permisos que necesita tu aplicación.
Prueba estos prompts
Create a NetworkPolicy that denies all ingress and egress traffic by default for the payments namespace.
Create a ClusterRole and RoleBinding that allows my CI/CD service account to deploy applications but not read secrets.
Apply restricted Pod Security Standards to my production namespace with audit logging for violations.
Design a complete security policy set for a microservices application with frontend, backend, and database tiers including NetworkPolicy, RBAC, and Pod Security contexts.
Mejores prácticas
- Comienza con una NetworkPolicy de denegación por defecto y agrega reglas de अनुमति específicas
- Usa Roles con alcance de espacio de nombres en lugar de ClusterRoles cuando sea posible
- Deshabilita el montaje automático de tokens de ServiceAccount para pods que no necesitan acceso a la API
Evitar
- No uses verbos o recursos con comodines en reglas de RBAC de producción
- No omitas la aplicación de Pod Security Standards en espacios de nombres de producción
- No otorgues cluster-admin a ServiceAccounts de aplicaciones
Preguntas frecuentes
¿Por qué mi NetworkPolicy no bloquea el tráfico?
¿Cuál es la diferencia entre Role y ClusterRole?
¿Debo usar Pod Security Policies o Pod Security Standards?
¿Cómo pruebo si los permisos de RBAC funcionan?
¿Qué nivel de Pod Security Standard debo usar para producción?
¿Cómo permito tráfico DNS con una política de denegación por defecto?
Detalles del desarrollador
Autor
wshobsonLicencia
MIT
Repositorio
https://github.com/wshobson/agents/tree/main/plugins/kubernetes-operations/skills/k8s-security-policiesRef.
main
Estructura de archivos