Совсем скоро уже выйдет Kubernetes 1.25 и уже сейчас можно при | ISACARuSec

Совсем скоро уже выйдет Kubernetes 1.25 и уже сейчас можно присмотреться к новым фичам, изменениям и светлому будущему [1,2,3].

Мы же в первую очередь заострим наше внимание на вещях связанных с security:
1) PodSecurityPolicy (PSP) полностью исчезает из K8s
2) PodSecurity admission (замена PSP) переходит в stable и включен по умолчанию
3) Добавление поддержки user namespaces - фича UserNamespacesSupport и новый параметр spec.hostUsers для Pod (вроде как 6 лет к этому шли)
4) Forensic Container Checkpointing - можно делать snapshot запущенного контейнера и потом проанализировать его на другой машине незаметно для атакующего
5) Оптимизации по работе с SELinux
6) Добавление поля SecretRef к запросу NodeExpandVolume
7) Улучшение CVE feed - добавили official-cve-feed label, по которому просто искать и фильтровать
8) Поддержка диапазона портов в классической NetworkPolicy перешла в stable
9) Ephemeral Containers перешли в статус stable
10) Поддержка cgroup v2 перешла в stable

P.S. Это и хорошее обновление для моего тренинга =)