Maßnahmen

Mithilfe der „DenyAll“-Rolle ist es anzuraten, eine cluster-weite Network-Policy zu erstellen. 

  apiVersion: networking.k8s.io/v1
  kind: NetworkPolicy
  metadata:
    name: deny-all
    namespace: default ### should be created for all namespaces!
  spec:
    podSelector: {}
    policyTypes:
    - Ingress
    - Egress

Die Kommunikations-Erlaubnisse der Pods sollten ab hier über zusätzliche Network-Policies geregelt werden. Auch sollte mindestens eine Person für die Verwaltung der Network-Policies verantwortlich sein.