Der Auditor fragt: „Wie stellen Sie sicher, dass kein Container als Root läuft?” Früher: „Wir haben interne Dokumentation.” Jetzt: „Wir haben eine OPA-Gatekeeper-Policy, die das auf API-Server-Ebene durchsetzt.”
Das Problem: manuelle Compliance¶
Sicherheitsrichtlinien in einem Wiki. Review beim Code Review (wenn es jemand nicht vergisst). Ein Audit einmal im Jahr, das Dutzende von Verstößen findet. Reaktiv, langsam, unzuverlässig.
OPA Gatekeeper¶
Open Policy Agent (OPA) ist eine universelle Policy Engine. Gatekeeper ist eine Kubernetes-native Integration — ein Admission Controller, der jeden Request gegen definierte Policies validiert.
Unsere Policies¶
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sContainerNoPrivilege
metadata:
name: no-privileged-containers
spec:
match:
kinds:
- apiGroups: [""]
kinds: ["Pod"]
excludedNamespaces: ["kube-system"]
- Keine privilegierten Container
- Keine Container als Root
- Pflicht-Resource-Limits
- Pflicht-Labels (Team, Environment)
- Erlaubte Container-Registries
- Keine hostPath-Volumes
Enforcement-Modi¶
Warn: protokolliert Verstöße, lässt den Request aber durch. Ideal für die Übergangsphase. Deny: blockiert den Request. Für die Durchsetzung in Produktion. Unsere Empfehlung: im Warn-Modus deployen, Verstöße analysieren, beheben, dann auf Deny umschalten.
Compliance muss automatisiert sein¶
OPA Gatekeeper verwandelt Compliance von einem Dokument in ausführbaren Code. Dem Auditor zeigen Sie Policies, Audit-Logs und Dashboards — nicht eine Wiki-Seite.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns