k8s-security-policies
Implémenter les politiques de sécurité Kubernetes
Également disponible depuis: wshobson
Sécurisez vos clusters Kubernetes avec des politiques de réseau prêtes pour la production, des configurations RBAC et des standards de sécurité des pods. Cette skill fournit des modèles complets et les meilleures pratiques pour une sécurité en profondeur.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "k8s-security-policies". Créer une NetworkPolicy deny par défaut pour le namespace production
Résultat attendu:
Un manifeste NetworkPolicy complet avec un podSelector vide et les deux types de politique Ingress et Egress, bloquant tout le trafic par défaut
Utilisation de "k8s-security-policies". Générer un RBAC pour un rôle de gestionnaire de déploiement
Résultat attendu:
Un Role avec les permissions pour les déploiements (CRUD complet) et les pods (lecture seule), plus un RoleBinding pour attacher des utilisateurs ou des comptes de service
Audit de sécurité
SûrAll static analyzer findings are false positives. The skill contains documentation and YAML templates for Kubernetes security configurations. Network pattern detections reference metadata endpoint blocking (security best practice), and external command findings are bash examples in Markdown documentation, not executable code.
Score de qualité
Ce que vous pouvez construire
Ingénieur DevSecOps
Implémenter l'isolement réseau entre les microservices et appliquer des contrôles d'accès au moindre privilège pour les pipelines CI/CD
Responsable d'équipe plateforme
Établir des bases de sécurité et des contrôles de conformité sur les clusters Kubernetes multi-locataires
Auditeur sécurité
Examiner et valider les configurations de sécurité Kubernetes existantes contre les benchmarks CIS et les cadres NIST
Essayez ces prompts
Créer une NetworkPolicy qui permet aux pods frontend de communiquer avec les pods backend sur le port 8080 dans le namespace production
Générer une configuration RBAC pour un compte de service qui a besoin d'un accès en lecture seule aux ConfigMaps dans le namespace default
Configurer les labels du namespace pour appliquer les Pod Security Standards restreints avec les modes audit et warn
Créer une configuration de sécurité complète incluant une NetworkPolicy deny par défaut, un RBAC pour les développeurs et des Pod Security Standards pour un nouveau namespace de production
Bonnes pratiques
- Commencer par des NetworkPolicies deny par défaut, puis autoriser explicitement le trafic nécessaire
- Appliquer le principe du moindre privilège pour le RBAC - accorder les permissions minimales nécessaires
- Utiliser des ServiceAccounts dédiés pour chaque application au lieu du ServiceAccount par défaut
Éviter
- Utiliser des permissions joker (*) dans le RBAC pour les charges de production
- Exécuter des conteneurs en tant que root ou avec un contexte de sécurité privilégié
- Autoriser le trafic egress sans restriction sans règles NetworkPolicy explicites