Definition. Ein dreistufiges Profilmodell, mit dem Kubernetes Pods auf zulässige Sicherheits-Eigenschaften prüft: privileged (alles erlaubt), baseline (verhindert die offensichtlichsten Eskalationen) und restricted (deutlich gehärtet, nahe an Best Practice). Sie ersetzen die ältere PodSecurityPolicy und werden je Namespace via Label durchgesetzt.

Warum relevant. Ohne aktiv gesetzte Standards laufen Container in Kubernetes mit weit mehr Rechten, als sie brauchen. restricted ist für die meisten Anwendungen ein realistisches Ziel und schließt häufige Container-Escape-Vektoren.

Verwandt. Container Escape, Kubernetes Worker Node, Runtime Security, Kernel Hardening