this post was submitted on 30 Jun 2024
67 points (98.6% liked)
Haupteingang
493 readers
1 users here now
Die Standard-Community von feddit.org
In dieser Community geht es ausschließlich um alles rund um die Instanz!
Regeln:
- Gelöste Probleme sollen eindeutig mit [GELÖST] im Titel markiert werden.
founded 4 months ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
Per default geht mal OAuth/OpenID/LDAP/AD
Wir verwenden LDAP, damit bekommt man schon mal out-of-the-box recht gute RBAC policies, um namespace und cluster permissions zu segmentieren.
SAML gibt's derzeit nur eine community Implementierung:
Für security hilft ja schon mal der Ansatz, dass CoreOS praktisch "immutable" ist, und auch die ganzen SELinux und container policies, die per default strikt eingestellt sind. Damit bekommt jeder namespace eine zufällige ID zugewiesen, die dann für pods als UID/GID verwendet wird. Auch sämtliche capabilities usw. sind standardmäßig eingeschränkt. Network namespace isolation kann man auch ganz einfach haben, muss man nur bei der Installation des overlay network intial angeben.
Und dann gibt's noch support für alle möglichen Technologoien, die ggf für Compliance relevant sein können, siehe hier: