Vamos falar do KYVERNO um projeto incubado na CNCF. Uma aplicação que tem a função de gerenciar políticas do Kubernetes. E como isso funciona? O Kyverno conversando diretamente com a API do seu cluster Kubernetes vai policiar todos os recursos que você tem dentro do seu cluster e tudo que está entrando no seu cluster. De uma forma mais técnica, o Kyverno é executado como um controlador dinâmico de admissões, ele recebe e valida requisições de chamadas webhook HTTP da API do Kubernetes e aplica as políticas correspondentes que irá retornar os resultados de admissão ou rejeição da solicitação. Com o Kyverno instalado no cluster (instalação simples e rápida) vamos começar a construir a segurança de todo o ambiente através de políticas. E aqui entramos em um passo importante, a segurança como código, nesse caso, a política como código. Todas as boas práticas para um ambiente serão colocadas em código, mas de uma forma muito simples e muito natural para quem mexe com kubernetes no seu dia-a-dia, códigos em arquivos yaml. E melhor ainda, se bater aquela preguicinha de escrever seu próprio arquivo, na documentação do kyverno tem uma lista bem grande de políticas já prontas. Mas como funcionam essas políticas? Será escolhido um recurso e o que será validado nesse recurso. Por exemplo: Imagens com a tag latest, não serão permitidas. A política poderá entrar como AUDIT e você receberá uma WARNING de que a imagem está violando uma política do Kyverno. OU seu deploy não irá subir porque tem a imagem com a tag Latest e você recebe um aviso de porque não subiu, nesse caso a política está descrita como ENFORCE. Podemos acompanhar como está a saúde do cluster em relação as politicas existentes. Ou seja, a quantidade de recursos que estão infringindo essas políticas (politicas aplicadas como audit) de 2 formar: um dashboard no Grafana ou através do POLICY REPORT. Mas tudo isso acontece dentro do cluster e que tal realizar esses testes antes de tentar subir qualquer aplicação dentro do seu cluster? Com o kyverno Cli, você pode testar suas imagens, Helms (com pequenos ajustes) ou até ser aplicado diretamente na pipeline. Esse é apenas um pequeno tópico da segurança do seu cluster, mas de suma importância, entender o que já está dentro, se segue suas diretrizes e realizar ajustes no que não está de acordo e impedir que novas infrações entrem no cluster.