Ablageort im Repository (GitLab): Projekt406-Richtlinien-Umsetzung Kyverno
Diskussionsforum (Discourse): Projekt406-Richtlinien-Umsetzung Kyverno
Readme: Projekt406-Richtlinien-Umsetzung Kyverno
Beschreibung des Projektes: Herstellung von Richtlinienkonformität auf Kubernetes Clustern mittels Kyverno
PublicCode.YML: anzeigen
OSS Compliance: anzeigen
Das Projekt ist nach: https://gitlab.opencode.de/ig-bvc/policy-entwicklung umgezogen
¶ IG BvC Konformität von k8s-Clustern und Manifesten (Proof of Concept) test-policies
Eine Reihe von Richtlinien welche Kubernetes-Cluster und Manifeste mit einer Auswahl von Aspekten des BSI SYS1.6 - Container und Teilen der Ausarbeitungen der IG BvC kompatibel macht.
¶ Anleitung für Anwender
Für den Einsatz der Richtlinien im eigenen Cluster wird der Policy-Controller Kyverno benötigt. Die Installation von Kyverno ist unter kyverno.io dokumentiert.
Auf der Releases-Seite befinden sich die aktuellen Policies.
Die Richtlinien der IG BvC können direkt aus diesem Repository bezogen und angewendet werden. Alternativ kann ein Release-Bundle heruntergeladen werden.
¶ Dokumentation zum PoC
¶ Inhalt
- Scope
- Konformitätstest und Werkzeuge zur Durchsetzung von Richtlinien
- Toolvergleich
- Erste Policies
- Demos
¶ Scope Definition
Nur auf Richtlinien und Konformitätstests konzentrieren, die auf der Kubernetes-API überprüfbar sind (In der folgenden Abbildung grün dargestellt 🟢). Obgleich viele wichtige Tests (z.B. der Infrastruktur wie bspw. Node-Konfiguration) damit erstmal unter den Tisch fallen, fokussieren wir uns der Zeit wegen hier.
¶ Konformitätstest und Werkzeuge zur Durchsetzung von Richtlinien
Richtlinien können automatisiert an drei Punkten des Anwendungslebenzyklus geprüft werden:
- Während der Entwicklung (z.B. in CI-Pipelines): Statische Analyse der Manifeste mit Command-Line-Tools oder in Test-Clustern beim Entwickler.
🟢 In der folgenden Abbildung grün dargestellt.
- Beim Deployment im Zielrechenzentrum: Prüfung via Admission-Controller
🟠 In der folgenden Abbildung orange dargestellt.
- Im laufenden Betrieb: Kontinuierliche Prüfung auf bspw. manuelle Veränderung mit kubectl
🟠 In der folgenden Abbildung orange dargestellt.
Die Konformität des Clusters mit den Vorgaben der IG BvC kann mittels einem Konformitätstest (🟣) ermittelt werden.
¶ Toolvergleich
Der Toolvergleich ist abgeschlossen und dokumentiert.
¶ Erste Policies
Wie es zu den ersten Policies kommt, wurde in den Quick-Wins dokumentiert.
¶ Demos
####### Statische Analyse von Manifesten
####### Richtlinien im Cluster durchsetzen test-policies-in-cluster
####### Cluster-Konformitäts-Test test-cluster-conformance