本番対応可能なネットワークポリシー、RBAC設定、ポッドセキュリティ標準を使用してKubernetesクラスターを保護します。このスキルは、多層防御セキュリティのための包括的なテンプレートとベストプラクティスを提供します。
スキルZIPをダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
オンにして利用開始
テストする
「k8s-security-policies」を使用しています。 本番名前空間用のデフォルト拒否NetworkPolicyを作成
期待される結果:
空のpodSelectorとIngressとEgressの両方のポリシタイプを持つ完全なNetworkPolicyマニフェストで、すべてのトラフィックをデフォルトでブロック
「k8s-security-policies」を使用しています。 デプロイメントマネージャーロール用のRBACを生成
期待される結果:
デプロイメント(完全なCRUD)とポッド(読み取り専用)の権限を持つRoleと、ユーザーまたはサービスアカウントをアタッチするRoleBinding
セキュリティ監査
安全All static analyzer findings are false positives. The skill contains documentation and YAML templates for Kubernetes security configurations. Network pattern detections reference metadata endpoint blocking (security best practice), and external command findings are bash examples in Markdown documentation, not executable code.
品質スコア
作れるもの
DevSecOpsエンジニア
マイクロサービス間のネットワーク分離を実装し、CI/CDパイプラインに対して最小権限のアクセス制御を強制
プラットフォームチームリード
マルチテナントKubernetesクラスター全体でセキュリティベースラインとコンプライアンス制御を確立
セキュリティ監査人
既存のKubernetesセキュリティ設定をCISベンチマークとNISTフレームワークに対してレビューおよび検証
これらのプロンプトを試す
本番名前空間でフロントエンドポッドがバックエンドポッドとポート8080で通信できるNetworkPolicyを作成
デフォルト名前空間でConfigMapへの読み取り専用アクセスが必要なサービスアカウントのRBAC設定を生成
監査モードと警告モードで制限付きポッドセキュリティ標準を強制するための名前空間ラベルを構成
デフォルト拒否NetworkPolicy、開発者用のRBAC、新しい本番名前空間用のポッドセキュリティ標準を含む包括的なセキュリティ設定を作成
ベストプラクティス
- デフォルト拒否NetworkPoliciesから開始し、必要なトラフィックのみを明示的に許可
- RBACには最小権限の原則を適用 - 必要な最小権限のみを付与
- デフォルトのServiceAccountではなく、各アプリケーションに専用のServiceAccountを使用
回避
- 本番ワークロードでRBACにワイルドカード(*)の権限を使用
- ルートユーザーとして、または特権セキュリティコンテキストでコンテナを実行
- 明示的なNetworkPolicyルールなしに無制限のエグレストラフィックを許可