技能 k8s-security-policies
🔐

k8s-security-policies

安全 🌐 網路存取⚙️ 外部命令

實作 Kubernetes 安全策略和 RBAC 控制

Kubernetes 叢集需要適當的安全策略來防止未經授權的存取和網路攻擊。此技能提供可立即使用的 NetworkPolicy、RBAC 和 Pod 安全標準範本。

支援: Claude Codex Code(CC)
🥉 74 青銅
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「k8s-security-policies」。 Create a NetworkPolicy that allows frontend pods to talk to backend on port 8080

預期結果:

  • 已為 'production' 命名空間建立 NetworkPolicy
  • 傳入規則:允許來自具有 app=frontend 標籤之 pods 的流量
  • 目標:具有 app=backend 標籤的 pods,TCP 連接埠 8080
  • 所有其他傳入後端 pods 的流量都會被拒絕

正在使用「k8s-security-policies」。 Set up RBAC for a developer who needs read access to pods and deployments

預期結果:

  • 已在 'development' 命名空間中建立 Role 'developer-read'
  • 許可權:對 pods 和 deployments 執行 get、list、watch
  • RoleBinding 'dev-team-read' 將角色綁定至使用者 'alice@company.com'
  • 未授予寫入或刪除許可權

安全審計

安全
v4 • 1/17/2026

This skill contains Kubernetes security documentation and YAML templates. All static findings are false positives: the metadata endpoint IP is shown as an EXAMPLE OF WHAT TO BLOCK (security best practice), backtick patterns are markdown code fence syntax, and 'weak crypto' matches are Kubernetes resource names like 'cluster-admin'. No executable code or malicious patterns present.

4
已掃描檔案
900
分析行數
2
發現項
4
審計總數

風險因素

🌐 網路存取 (4)
assets/network-policy-template.yaml:126 assets/network-policy-template.yaml:124 assets/network-policy-template.yaml:126 skill-report.json:6
⚙️ 外部命令 (67)
references/rbac-patterns.md:6-15 references/rbac-patterns.md:15-18 references/rbac-patterns.md:18-28 references/rbac-patterns.md:28-31 references/rbac-patterns.md:31-44 references/rbac-patterns.md:44-47 references/rbac-patterns.md:47-72 references/rbac-patterns.md:72-75 references/rbac-patterns.md:75-90 references/rbac-patterns.md:90-95 references/rbac-patterns.md:95-111 references/rbac-patterns.md:111-114 references/rbac-patterns.md:114-125 references/rbac-patterns.md:125-131 references/rbac-patterns.md:131-143 references/rbac-patterns.md:143-146 references/rbac-patterns.md:146-149 references/rbac-patterns.md:149-152 references/rbac-patterns.md:152-155 references/rbac-patterns.md:155-157 references/rbac-patterns.md:157-161 references/rbac-patterns.md:161-162 references/rbac-patterns.md:162-163 references/rbac-patterns.md:163-164 references/rbac-patterns.md:164-165 references/rbac-patterns.md:165-166 references/rbac-patterns.md:166-167 references/rbac-patterns.md:167-168 references/rbac-patterns.md:168-169 SKILL.md:26-35 SKILL.md:35-38 SKILL.md:38-47 SKILL.md:47-50 SKILL.md:50-59 SKILL.md:59-64 SKILL.md:64-75 SKILL.md:75-78 SKILL.md:78-98 SKILL.md:98-101 SKILL.md:101-119 SKILL.md:119-121 SKILL.md:121-126 SKILL.md:126-136 SKILL.md:136-139 SKILL.md:139-148 SKILL.md:148-151 SKILL.md:151-168 SKILL.md:168-170 SKILL.md:170-175 SKILL.md:175-196 SKILL.md:196-201 SKILL.md:201-230 SKILL.md:230-233 SKILL.md:233-245 SKILL.md:245-250 SKILL.md:250-259 SKILL.md:259-262 SKILL.md:262-277 SKILL.md:277-312 SKILL.md:312-316 SKILL.md:316-319 SKILL.md:319-323 SKILL.md:323-327 SKILL.md:327-328 SKILL.md:328-329 SKILL.md:329-333 SKILL.md:333-334
審計者: claude 查看審計歷史 →

品質評分

55
架構
100
可維護性
87
內容
22
社群
100
安全
91
規範符合性

你能建構什麼

保護多租戶 Kubernetes 叢集

使用 NetworkPolicy 和 RBAC 實作命名空間隔離,以防止共享叢集中的跨租戶存取。

達成安全標準合規性

使用 Pod 安全標準和 RBAC 配置套用 CIS Kubernetes Benchmark 控制。

為服務配置最低權限存取

建立 ServiceAccounts 和 RoleBindings,只授予應用程式所需的許可權。

試試這些提示

建立預設拒絕策略 
為 payments 命名空間建立一個預設拒絕所有傳入和傳出流量的 NetworkPolicy。
為 CI/CD 設計 RBAC 
建立一個 ClusterRole 和 RoleBinding,允許我的 CI/CD 服務帳戶部署應用程式,但不能讀取 secrets。
配置 Pod 安全標準 
將 restricted Pod 安全標準套用至生產命名空間,並記錄違規稽核日誌。
建立完整的安全策略集 
為具有前端、後端和資料庫層的微服務應用程式設計完整的安全策略集,包括 NetworkPolicy、RBAC 和 Pod 安全上下文。

最佳實務

  • 從預設拒絕的 NetworkPolicy 開始,然後新增特定的允許規則
  • 盡可能使用命名空間範圍的 Roles 而非 ClusterRoles
  • 對於不需要 API 存取的 pods,停用 ServiceAccount 令牌自動掛載

避免

  • 不要在生產環境 RBAC 規則中使用萬用字元動詞或資源
  • 不要在生產環境命名空間中跳過 Pod 安全標準強制執行
  • 不要將 cluster-admin 授予應用程式 ServiceAccounts

常見問題

為什麼我的 NetworkPolicy 無法封鎖流量?
驗證您的 CNI 外掛支援 NetworkPolicy。Calico、Cilium 和 Weave 支援它。Flannel 預設不支援。
Role 和 ClusterRole 有什麼區別?
Role 是命名空間範圍的,並在一個命名空間內授予存取權限。ClusterRole 是叢集範圍的,可以跨所有命名空間授予存取權限。
我應該使用 Pod Security Policies 還是 Pod Security Standards?
使用 Pod 安全標準。PodSecurityPolicy 自 Kubernetes 1.21 起已被棄用,並在 1.25 中移除。
如何測試 RBAC 許可權是否正常運作?
使用 kubectl auth can-i 命令來測試許可權。範例:kubectl auth can-i list pods --as system:serviceaccount:ns:sa
生產環境應該使用哪個 Pod 安全標準級別?
對生產工作負載使用 'restricted'。它會強制執行非根使用者、唯讀檔案系統並移除 capabilities。
如何在預設拒絕策略中允許 DNS 流量?
新增一個允許 UDP 連接埠 53 的傳出規則至 CoreDNS 執行所在的 kube-system 命名空間。

開發者詳情

作者

wshobson

授權

MIT

儲存庫

https://github.com/wshobson/agents/tree/main/plugins/kubernetes-operations/skills/k8s-security-policies

引用

main

檔案結構

📁 assets/

📄 network-policy-template.yaml

📁 references/

📄 rbac-patterns.md

📄 SKILL.md