Kubernetes Beveiliging

RBAC bepaalt wie wat mag doen binnen een Kubernetes-cluster. Het is het primaire autorisatiemechanisme in elk productiecluster, en fouten erin zorgen er ofwel voor dat je CI/CD-pipeline wordt geblokkeerd, of dat een service account stilletjes cluster-admin rechten krijgt terwijl het alleen leestoegang nodig had. Deze gids behandelt de vier RBAC-objecten, laat zien hoe je least-privilege rollen bouwt voor workloads en pipelines, en loopt door de debuggingworkflow voor de onvermijdelijke Forbidden-fout.

Kyverno is een policy engine die speciaal voor Kubernetes is gebouwd. Policies schrijf je als standaard Kubernetes-resources in YAML, niet in een aparte taal, en Kyverno dwingt ze af als admission controller voordat resources je cluster bereiken. Het valideert, muteert, genereert resources en verifieert container-image-signatures. Dit artikel legt uit hoe Kyverno werkt, wat je ermee kunt doen en hoe het zich verhoudt tot OPA/Gatekeeper.

Kubernetes Secrets zijn base64-gecodeerd, niet versleuteld. Voor GitOps-workflows betekent dat: geheime waarden staan onbeschermd in Git of in etcd, tenzij je er een specifiek tool voor inzet. Sealed Secrets, External Secrets Operator en HashiCorp Vault lossen dit probleem elk op hun eigen manier op. Deze vergelijking zet de architectuur, GitOps-geschiktheid, multi-cluster gedrag en operationele kosten naast elkaar zodat je de juiste keuze kunt maken voor jouw team.

PodSecurityPolicy is verwijderd in Kubernetes 1.25. De vervanger, Pod Security Admission (PSA) met Pod Security Standards (PSS), is ingebouwd en standaard ingeschakeld op elk cluster, maar doet niets tenzij je namespaces labelt. Deze gids loopt door de drie profielen, de drie handhavingsmodi, het migratiepad vanuit PSP, en de cluster-level configuratie die voorkomt dat nieuwe namespaces onbeschermd draaien.

Statische cloudcredentials in Kubernetes Secrets zijn een datalek dat wacht om te gebeuren. Elke grote cloudprovider biedt een workload identity-mechanisme waarmee pods zich authenticeren bij clouddiensten met kortstondige, automatisch roterende tokens. Deze gids behandelt de setup voor EKS (IRSA en Pod Identity), GKE (Workload Identity Federation) en AKS (Microsoft Entra Workload ID), met een vergelijkingstabel en keuzehulp aan het einde.

Elk API-verzoek aan een Kubernetes-cluster passeert admission controllers na authenticatie en RBAC-autorisatie. Policy engines zoals Kyverno en OPA Gatekeeper haken in op deze pipeline om resources te valideren, muteren en genereren. Kubernetes 1.30 voegde een ingebouwde optie toe, ValidatingAdmissionPolicy (CEL), die eenvoudige validatie afhandelt zonder draaiende services. Dit artikel vergelijkt alle drie zodat je de juiste kunt kiezen voor jouw cluster.

Container images bevatten kwetsbaarheden in OS-pakketten, taaldependencies en ingebedde secrets. Scannen tijdens de build vangt problemen vroeg op, maar er worden dagelijks nieuwe CVE's gepubliceerd tegen images die al in productie draaien. Deze gids helpt je Trivy in te richten voor CI-pipeline gating, continue in-cluster monitoring met de Trivy Operator, image signing met Cosign en admissie-enforcement met Kyverno.

etcd bevat elk object in je Kubernetes-cluster: Deployments, Secrets, RBAC-regels, CRDs. Als je etcd kwijtraakt, ben je het cluster kwijt. Deze handleiding behandelt het maken van snapshots met etcdctl, geautomatiseerde backups via een CronJob, single-node restore, multi-node HA restore, en de revision-bump-vlaggen die controllercache-corruptie na herstel voorkomen.