Навыки k8s-security-policies

🔐

k8s-security-policies

Name: k8s-security-policies
Author: wshobson

Безопасно 🌐 Доступ к сети⚙️ Внешние команды

Внедрение политик безопасности Kubernetes и RBAC-контролей

Kubernetes-кластерам требуются надлежащие политики безопасности для защиты от несанкционированного доступа и сетевых атак. Этот навык предоставляет готовые к использованию шаблоны для NetworkPolicy, RBAC и стандартов безопасности подов.

Поддерживает: Claude Codex Code(CC)

🥉 74 Бронза

Скачать ZIP навыка

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

Включите и начните использовать

Протестировать

Использование «k8s-security-policies». Create a NetworkPolicy that allows frontend pods to talk to backend on port 8080

Ожидаемый результат:

NetworkPolicy created for namespace 'production'
Ingress rule: allows traffic from pods with label app=frontend
Target: pods with label app=backend on TCP port 8080
All other ingress traffic to backend pods is denied

Использование «k8s-security-policies». Set up RBAC for a developer who needs read access to pods and deployments

Ожидаемый результат:

Role 'developer-read' created in namespace 'development'
Permissions: get, list, watch on pods and deployments
RoleBinding 'dev-team-read' binds role to user 'alice@company.com'
No write or delete permissions granted

Аудит безопасности

Безопасно

v4 • 1/17/2026

This skill contains Kubernetes security documentation and YAML templates. All static findings are false positives: the metadata endpoint IP is shown as an EXAMPLE OF WHAT TO BLOCK (security best practice), backtick patterns are markdown code fence syntax, and 'weak crypto' matches are Kubernetes resource names like 'cluster-admin'. No executable code or malicious patterns present.

Просканировано файлов

900

Проанализировано строк

находки

Всего аудитов

Факторы риска

🌐 Доступ к сети (4)

assets/network-policy-template.yaml:126 assets/network-policy-template.yaml:124 assets/network-policy-template.yaml:126 skill-report.json:6

⚙️ Внешние команды (67)

Проверено: claude Посмотреть историю аудитов →

Оценка качества

Архитектура

100

Сопровождаемость

Контент

Сообщество

100

Безопасность

Соответствие спецификации

Что вы можете построить

Защита мультитенантных Kubernetes-кластеров

Внедрить изоляцию пространств имён с помощью NetworkPolicy и RBAC для предотвращения межтенантного доступа в общих кластерах.

Достижение соответствия стандартам безопасности

Применить элементы управления CIS Kubernetes Benchmark с помощью стандартов безопасности подов и конфигураций RBAC.

Настройка доступа с минимальными привилегиями для сервисов

Создавать ServiceAccounts и RoleBindings, предоставляющие только те разрешения, которые необходимы вашему приложению.

Попробуйте эти промпты

Создание политики запрета по умолчанию

Создайте NetworkPolicy, которая запрещает весь входящий и исходящий трафик по умолчанию для пространства имён payments.

Проектирование RBAC для CI/CD

Создайте ClusterRole и RoleBinding, которые позволяют моему CI/CD ServiceAccount развёртывать приложения, но не читать секреты.

Настройка стандартов безопасности подов

Примените ограниченные стандарты безопасности подов к моему production-пространству имён с журналированием нарушений.

Создание полного набора политик безопасности

Разработайте полный набор политик безопасности для приложения с микросервисами, включающего уровни frontend, backend и базу данных, включая NetworkPolicy, RBAC и контексты безопасности подов.

Лучшие практики

Начните с NetworkPolicy с запретом по умолчанию и добавляйте конкретные правила разрешения
Используйте Roles в области видимости пространства имён вместо ClusterRoles, когда это возможно
Отключите автомонтирование токенов ServiceAccount для подов, не требующих API-доступа

Избегать

Не используйте подстановочные глаголы или ресурсы в RBAC-правилах для production
Не пропускайте применение стандартов безопасности подов в production-пространствах имён
Не предоставляйте cluster-admin ServiceAccounts приложений

Часто задаваемые вопросы

Почему моя NetworkPolicy не блокирует трафик?

Проверьте, что ваш CNI-плагин поддерживает NetworkPolicy. Calico, Cilium и Weave поддерживают. Flannel по умолчанию — нет.

В чём разница между Role и ClusterRole?

Role находится в области видимости пространства имён и предоставляет доступ в пределах одного пространства имён. ClusterRole действует на уровне всего кластера и может предоставлять доступ ко всем пространствам имён.

Следует ли использовать Pod Security Policies или Pod Security Standards?

Используйте стандарты безопасности подов. PodSecurityPolicy устарел с Kubernetes 1.21 и удалён в 1.25.

Как проверить, работают ли RBAC-разрешения?

Используйте команду kubectl auth can-i для проверки разрешений. Пример: kubectl auth can-i list pods --as system:serviceaccount:ns:sa

Какой уровень стандартов безопасности подов использовать для production?

Используйте 'restricted' для production-нагрузок. Это обеспечивает использование непривилегированных пользователей, файловых систем только для чтения и удаление возможностей.

Как разрешить DNS-трафик с политикой запрета по умолчанию?

Добавьте правило исходящего трафика, разрешающее UDP-порт 53 в пространство имён kube-system, где работает CoreDNS.

Сведения для разработчиков

Автор

wshobson

Лицензия

MIT

Репозиторий

https://github.com/wshobson/agents/tree/main/plugins/kubernetes-operations/skills/k8s-security-policies

Ссылка

main

Структура файлов

📁 assets/

📄 network-policy-template.yaml

📁 references/

📄 rbac-patterns.md

📄 SKILL.md