Los manifiestos de Kubernetes mal configurados son una de las principales causas de incidentes de seguridad en producci\u00f3n. Un contenedor ejecut\u00e1ndose como root, una etiqueta de imagen sin fijar, un l\u00edmite de recursos faltante o una red de host expuesta pueden abrir la puerta a la escalada de privilegios, el agotamiento de recursos o el movimiento lateral dentro de tu cl\u00faster.<\/p>\n
El problema es que estas configuraciones err\u00f3neas son invisibles hasta el momento del despliegue \u2014 o peor a\u00fan, hasta que un atacante las explota. La soluci\u00f3n es desplazar la seguridad a la izquierda y detectar violaciones de pol\u00edticas antes<\/strong> de que los manifiestos lleguen al cl\u00faster.<\/p>\n En este laboratorio pr\u00e1ctico, utilizar\u00e1s Conftest<\/strong> \u2014 un framework de pruebas construido sobre el motor Open Policy Agent (OPA) \u2014 para escribir pol\u00edticas Rego que validen manifiestos de Kubernetes. Luego integrar\u00e1s esas verificaciones en GitHub Actions y GitLab CI para que cada pull request sea analizado autom\u00e1ticamente en busca de violaciones.<\/p>\n Al finalizar este laboratorio tendr\u00e1s:<\/p>\n Antes de comenzar, aseg\u00farate de tener las siguientes herramientas y conocimientos:<\/p>\n Alternativamente, descarga el binario desde la p\u00e1gina de releases de Conftest<\/a>.<\/li>\n Comienza creando la estructura del proyecto y un conjunto de manifiestos de Kubernetes intencionalmente inseguros. Estos servir\u00e1n como nuestros fixtures de prueba a lo largo de todos los ejercicios.<\/p>\n Crea los directorios:<\/p>\n Crea Este manifiesto usa Crea No se ha establecido ning\u00fan Crea Sin l\u00edmites de CPU y memoria, un solo pod con mal comportamiento puede agotar los recursos de todo el nodo.<\/p>\n Crea Un servicio LoadBalancer sin anotaciones puede exponer cargas de trabajo a la internet p\u00fablica en entornos cloud.<\/p>\n Crea Tu primera pol\u00edtica denegar\u00e1 cualquier imagen de contenedor que use la etiqueta Crea Salida esperada:<\/p>\n Edita Ejecuta Conftest de nuevo:<\/p>\n Salida esperada:<\/p>\n Cada archivo de pol\u00edtica Rego utilizado por Conftest sigue un patr\u00f3n simple:<\/p>\n Los contenedores que se ejecutan como root pueden modificar el sistema de archivos, instalar paquetes y \u2014 si se combinan con un exploit del kernel \u2014 escapar al host. Esta pol\u00edtica aplica dos controles: Crea Salida esperada:<\/p>\n Actualiza Ejecuta Conftest de nuevo \u2014 ambas reglas ahora pasan.<\/p>\n Sin l\u00edmites de recursos, un solo contenedor puede consumir toda la CPU y memoria del nodo, causando fallos en cascada en cargas de trabajo no relacionadas. Muchos frameworks de cumplimiento (SOC 2, CIS Benchmarks) requieren l\u00edmites expl\u00edcitos.<\/p>\n Crea Salida esperada:<\/p>\n A\u00f1ade l\u00edmites de recursos a Ejecuta Conftest de nuevo \u2014 las verificaciones de CPU y memoria pasan.<\/p>\n Los pods que solicitan acceso a nivel de host \u2014 Crea Salida esperada:<\/p>\n Elimina la l\u00ednea Ejecuta Conftest \u2014 el pod ahora pasa todas las verificaciones de acceso al host.<\/p>\n Las pol\u00edticas son c\u00f3digo, y el c\u00f3digo necesita pruebas. Sin pruebas no puedes estar seguro de que una pol\u00edtica detecta lo que deber\u00eda o de que una futura refactorizaci\u00f3n no introduzca un falso positivo que bloquee despliegues leg\u00edtimos.<\/p>\n Crea Salida esperada:<\/p>\n En un contexto de CI\/CD, un falso negativo significa que un manifiesto inseguro se cuela, mientras que un falso positivo bloquea un despliegue leg\u00edtimo y erosiona la confianza de los desarrolladores en el pipeline. Al escribir casos de prueba expl\u00edcitos tanto para entradas permitidas como denegadas, obtienes una suite de regresi\u00f3n que se ejecuta en milisegundos y garantiza que tus pol\u00edticas se comportan correctamente a medida que crece la biblioteca de reglas.<\/p>\n Adopta el h\u00e1bito de a\u00f1adir un archivo Con las pol\u00edticas escritas y probadas, el siguiente paso es conectarlas a tu pipeline de CI para que cada pull request sea validado autom\u00e1ticamente.<\/p>\n Crea Sube una rama que contenga los manifiestos inseguros originales. La salida del pipeline se ver\u00e1 as\u00ed:<\/p>\n La verificaci\u00f3n de estado del PR se pone en rojo con mensajes de violaci\u00f3n claros que le indican al desarrollador exactamente qu\u00e9 corregir y d\u00f3nde.<\/p>\n Corrige todos los manifiestos como se muestra en los ejercicios anteriores, sube de nuevo, y el pipeline pasa:<\/p>\n Si tu equipo usa GitLab, la integraci\u00f3n es igual de sencilla. A\u00f1ade el siguiente job a tu El comportamiento refleja exactamente el workflow de GitHub Actions. Cuando hay manifiestos inseguros presentes, el job falla con mensajes de violaci\u00f3n. Cuando todos los manifiestos cumplen, el job pasa con un resumen limpio. El bloque No toda violaci\u00f3n de pol\u00edtica deber\u00eda bloquear un despliegue. Algunas son recomendaciones \u2014 mejores pr\u00e1cticas que quieres mostrar sin romper el pipeline. Conftest soporta esta distinci\u00f3n a trav\u00e9s de reglas Crea Salida esperada:<\/p>\n Nota: el c\u00f3digo de salida es Ahora el c\u00f3digo de salida es Este patr\u00f3n te permite desplegar nuevas pol\u00edticas gradualmente: intr\u00f3ducelas como advertencias, da tiempo a los equipos para remediar, y luego prom\u00f3cionalas a denegaciones.<\/p>\n Cuando termines el laboratorio, elimina los recursos de prueba:<\/p>\n Ahora que tienes un pipeline de Conftest funcional, contin\u00faa construyendo tu pr\u00e1ctica de policy-as-code:<\/p>\n Descripci\u00f3n general Los manifiestos de Kubernetes mal configurados son una de las principales causas de incidentes de seguridad en producci\u00f3n. Un contenedor ejecut\u00e1ndose como root, una etiqueta de imagen sin fijar, un l\u00edmite de recursos faltante o una red de host expuesta pueden abrir la puerta a la escalada de privilegios, el agotamiento de recursos … Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[55,58],"tags":[],"post_folder":[],"class_list":["post-699","post","type-post","status-publish","format-standard","hentry","category-ci-cd-security","category-pipeline-hardening"],"_links":{"self":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts\/699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/comments?post=699"}],"version-history":[{"count":0,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts\/699\/revisions"}],"wp:attachment":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/media?parent=699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/categories?post=699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/tags?post=699"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/post_folder?post=699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
opa test<\/code>.<\/li>\nRequisitos previos<\/h2>\n
\n
brew install conftest<\/code><\/pre>\nminikube start<\/code> o kind create cluster<\/code>.<\/li>\nConfiguraci\u00f3n del entorno<\/h2>\n
Estructura del proyecto<\/h3>\n
conftest-k8s-lab\/\n\u251c\u2500\u2500 k8s\/\n\u2502 \u251c\u2500\u2500 deployment-latest-tag.yaml\n\u2502 \u251c\u2500\u2500 deployment-run-as-root.yaml\n\u2502 \u251c\u2500\u2500 deployment-no-limits.yaml\n\u2502 \u251c\u2500\u2500 service-loadbalancer.yaml\n\u2502 \u2514\u2500\u2500 pod-host-network.yaml\n\u2514\u2500\u2500 policy\/<\/code><\/pre>\nmkdir -p conftest-k8s-lab\/k8s conftest-k8s-lab\/policy\ncd conftest-k8s-lab<\/code><\/pre>\nManifiesto 1 \u2014 Deployment con etiqueta de imagen sin fijar<\/h3>\n
k8s\/deployment-latest-tag.yaml<\/code>:<\/p>\napiVersion: apps\/v1\nkind: Deployment\nmetadata:\n name: web-latest\nspec:\n replicas: 1\n selector:\n matchLabels:\n app: web-latest\n template:\n metadata:\n labels:\n app: web-latest\n spec:\n containers:\n - name: nginx\n image: nginx:latest\n ports:\n - containerPort: 80<\/code><\/pre>\nnginx:latest<\/code>, lo que significa que cada pull podr\u00eda introducir silenciosamente un binario diferente en tu cl\u00faster.<\/p>\nManifiesto 2 \u2014 Deployment ejecut\u00e1ndose como root<\/h3>\n
k8s\/deployment-run-as-root.yaml<\/code>:<\/p>\napiVersion: apps\/v1\nkind: Deployment\nmetadata:\n name: web-root\nspec:\n replicas: 1\n selector:\n matchLabels:\n app: web-root\n template:\n metadata:\n labels:\n app: web-root\n spec:\n containers:\n - name: nginx\n image: nginx:1.25.4\n ports:\n - containerPort: 80<\/code><\/pre>\nsecurityContext<\/code>, por lo que el contenedor se ejecuta como root por defecto \u2014 un vector de escalada de privilegios bien conocido.<\/p>\nManifiesto 3 \u2014 Deployment sin l\u00edmites de recursos<\/h3>\n
k8s\/deployment-no-limits.yaml<\/code>:<\/p>\napiVersion: apps\/v1\nkind: Deployment\nmetadata:\n name: web-no-limits\nspec:\n replicas: 1\n selector:\n matchLabels:\n app: web-no-limits\n template:\n metadata:\n labels:\n app: web-no-limits\n spec:\n containers:\n - name: nginx\n image: nginx:1.25.4\n ports:\n - containerPort: 80<\/code><\/pre>\nManifiesto 4 \u2014 Service de tipo LoadBalancer<\/h3>\n
k8s\/service-loadbalancer.yaml<\/code>:<\/p>\napiVersion: v1\nkind: Service\nmetadata:\n name: web-lb\nspec:\n type: LoadBalancer\n selector:\n app: web\n ports:\n - port: 80\n targetPort: 80<\/code><\/pre>\nManifiesto 5 \u2014 Pod con acceso a la red del host<\/h3>\n
k8s\/pod-host-network.yaml<\/code>:<\/p>\napiVersion: v1\nkind: Pod\nmetadata:\n name: debug-pod\nspec:\n hostNetwork: true\n containers:\n - name: debug\n image: busybox:1.36\n command: [\"sleep\", \"3600\"]<\/code><\/pre>\nhostNetwork: true<\/code> otorga al pod acceso completo a la pila de red del nodo, eludiendo por completo las network policies.<\/p>\nEjercicio 1: Escribe tu primera pol\u00edtica Rego \u2014 Sin etiquetas latest<\/h2>\n
:latest<\/code> u omita una etiqueta por completo (lo cual tambi\u00e9n se resuelve como latest<\/code>).<\/p>\nPaso 1 \u2014 Crear la pol\u00edtica<\/h3>\n
policy\/tags.rego<\/code>:<\/p>\npackage main\n\nimport future.keywords.in\n\ndeny[msg] {\n input.kind == \"Deployment\"\n container := input.spec.template.spec.containers[_]\n image := container.image\n not contains(image, \":\")\n msg := sprintf(\"Container '%s' uses image '%s' without a tag. Pin to a specific version.\", [container.name, image])\n}\n\ndeny[msg] {\n input.kind == \"Deployment\"\n container := input.spec.template.spec.containers[_]\n image := container.image\n endswith(image, \":latest\")\n msg := sprintf(\"Container '%s' uses the ':latest' tag in image '%s'. Pin to a specific version.\", [container.name, image])\n}<\/code><\/pre>\nPaso 2 \u2014 Ejecutar Conftest contra el manifiesto inseguro<\/h3>\n
conftest test k8s\/deployment-latest-tag.yaml<\/code><\/pre>\nFAIL - k8s\/deployment-latest-tag.yaml - main - Container 'nginx' uses the ':latest' tag in image 'nginx:latest'. Pin to a specific version.\n\n1 test, 0 passed, 0 warnings, 1 failure<\/code><\/pre>\nPaso 3 \u2014 Corregir el manifiesto<\/h3>\n
k8s\/deployment-latest-tag.yaml<\/code> y cambia la l\u00ednea de imagen:<\/p>\n image: nginx:1.25.4<\/code><\/pre>\nconftest test k8s\/deployment-latest-tag.yaml<\/code><\/pre>\n1 test, 1 passed, 0 warnings, 0 failures<\/code><\/pre>\nEntendiendo la estructura de Rego<\/h3>\n
\n
package main<\/code><\/strong> \u2014 Conftest busca el paquete main<\/code> por defecto. Puedes sobrescribirlo con --namespace<\/code>.<\/li>\ndeny[msg]<\/code><\/strong> \u2014 un conjunto de reglas. Si todas<\/em> las condiciones dentro del cuerpo de la regla se eval\u00faan como verdaderas, la regla se activa y a\u00f1ade msg<\/code> al conjunto de violaciones.<\/li>\ninput<\/code><\/strong> \u2014 representa el documento YAML que se est\u00e1 probando. Conftest lo convierte autom\u00e1ticamente en un objeto JSON.<\/li>\nsprintf<\/code><\/strong> \u2014 formatea un mensaje de error legible que aparece en los logs de CI.<\/li>\n<\/ul>\nEjercicio 2: Sin contenedores ejecut\u00e1ndose como root<\/h2>\n
runAsNonRoot: true<\/code> y allowPrivilegeEscalation: false<\/code>.<\/p>\nPaso 1 \u2014 Crear la pol\u00edtica<\/h3>\n
policy\/security_context.rego<\/code>:<\/p>\npackage main\n\ndeny[msg] {\n input.kind == \"Deployment\"\n container := input.spec.template.spec.containers[_]\n not container.securityContext.runAsNonRoot == true\n msg := sprintf(\"Container '%s' must set securityContext.runAsNonRoot to true.\", [container.name])\n}\n\ndeny[msg] {\n input.kind == \"Deployment\"\n container := input.spec.template.spec.containers[_]\n not container.securityContext.allowPrivilegeEscalation == false\n msg := sprintf(\"Container '%s' must set securityContext.allowPrivilegeEscalation to false.\", [container.name])\n}<\/code><\/pre>\nPaso 2 \u2014 Probar contra el manifiesto inseguro<\/h3>\n
conftest test k8s\/deployment-run-as-root.yaml<\/code><\/pre>\nFAIL - k8s\/deployment-run-as-root.yaml - main - Container 'nginx' must set securityContext.runAsNonRoot to true.\nFAIL - k8s\/deployment-run-as-root.yaml - main - Container 'nginx' must set securityContext.allowPrivilegeEscalation to false.\n\n1 test, 0 passed, 0 warnings, 2 failures<\/code><\/pre>\nPaso 3 \u2014 Corregir el manifiesto<\/h3>\n
k8s\/deployment-run-as-root.yaml<\/code> para incluir un contexto de seguridad en cada contenedor:<\/p>\napiVersion: apps\/v1\nkind: Deployment\nmetadata:\n name: web-root\nspec:\n replicas: 1\n selector:\n matchLabels:\n app: web-root\n template:\n metadata:\n labels:\n app: web-root\n spec:\n containers:\n - name: nginx\n image: nginx:1.25.4\n ports:\n - containerPort: 80\n securityContext:\n runAsNonRoot: true\n allowPrivilegeEscalation: false<\/code><\/pre>\nEjercicio 3: Requerir l\u00edmites de recursos<\/h2>\n
Paso 1 \u2014 Crear la pol\u00edtica<\/h3>\n
policy\/resources.rego<\/code>:<\/p>\npackage main\n\ndeny[msg] {\n input.kind == \"Deployment\"\n container := input.spec.template.spec.containers[_]\n not container.resources.limits.cpu\n msg := sprintf(\"Container '%s' must define resources.limits.cpu.\", [container.name])\n}\n\ndeny[msg] {\n input.kind == \"Deployment\"\n container := input.spec.template.spec.containers[_]\n not container.resources.limits.memory\n msg := sprintf(\"Container '%s' must define resources.limits.memory.\", [container.name])\n}<\/code><\/pre>\nPaso 2 \u2014 Probar contra el manifiesto inseguro<\/h3>\n
conftest test k8s\/deployment-no-limits.yaml<\/code><\/pre>\nFAIL - k8s\/deployment-no-limits.yaml - main - Container 'nginx' must define resources.limits.cpu.\nFAIL - k8s\/deployment-no-limits.yaml - main - Container 'nginx' must define resources.limits.memory.\n\n1 test, 0 passed, 0 warnings, 2 failures<\/code><\/pre>\nPaso 3 \u2014 Corregir el manifiesto<\/h3>\n
k8s\/deployment-no-limits.yaml<\/code>:<\/p>\napiVersion: apps\/v1\nkind: Deployment\nmetadata:\n name: web-no-limits\nspec:\n replicas: 1\n selector:\n matchLabels:\n app: web-no-limits\n template:\n metadata:\n labels:\n app: web-no-limits\n spec:\n containers:\n - name: nginx\n image: nginx:1.25.4\n ports:\n - containerPort: 80\n resources:\n requests:\n cpu: \"100m\"\n memory: \"128Mi\"\n limits:\n cpu: \"250m\"\n memory: \"256Mi\"<\/code><\/pre>\nEjercicio 4: Denegar acceso privilegiado al host<\/h2>\n
hostNetwork<\/code>, hostPID<\/code>, hostIPC<\/code> o un contexto de seguridad privilegiado \u2014 efectivamente se ejecutan fuera del sandbox del contenedor. Un pod comprometido con cualquiera de estos flags puede ver todo el tr\u00e1fico del nodo, adjuntarse a otros procesos o escapar completamente al host.<\/p>\nPaso 1 \u2014 Crear la pol\u00edtica<\/h3>\n
policy\/host_access.rego<\/code>:<\/p>\npackage main\n\ndeny[msg] {\n input.kind == \"Pod\"\n input.spec.hostNetwork == true\n msg := sprintf(\"Pod '%s' must not use hostNetwork: true.\", [input.metadata.name])\n}\n\ndeny[msg] {\n input.kind == \"Pod\"\n input.spec.hostPID == true\n msg := sprintf(\"Pod '%s' must not use hostPID: true.\", [input.metadata.name])\n}\n\ndeny[msg] {\n input.kind == \"Pod\"\n input.spec.hostIPC == true\n msg := sprintf(\"Pod '%s' must not use hostIPC: true.\", [input.metadata.name])\n}\n\ndeny[msg] {\n input.kind == \"Pod\"\n container := input.spec.containers[_]\n container.securityContext.privileged == true\n msg := sprintf(\"Container '%s' in Pod '%s' must not run in privileged mode.\", [container.name, input.metadata.name])\n}\n\ndeny[msg] {\n input.kind == \"Deployment\"\n input.spec.template.spec.hostNetwork == true\n msg := sprintf(\"Deployment '%s' must not use hostNetwork: true.\", [input.metadata.name])\n}\n\ndeny[msg] {\n input.kind == \"Deployment\"\n container := input.spec.template.spec.containers[_]\n container.securityContext.privileged == true\n msg := sprintf(\"Container '%s' in Deployment '%s' must not run in privileged mode.\", [container.name, input.metadata.name])\n}<\/code><\/pre>\nPaso 2 \u2014 Probar contra el pod inseguro<\/h3>\n
conftest test k8s\/pod-host-network.yaml<\/code><\/pre>\nFAIL - k8s\/pod-host-network.yaml - main - Pod 'debug-pod' must not use hostNetwork: true.\n\n1 test, 0 passed, 0 warnings, 1 failure<\/code><\/pre>\nPaso 3 \u2014 Corregir el manifiesto<\/h3>\n
hostNetwork: true<\/code> de k8s\/pod-host-network.yaml<\/code>:<\/p>\napiVersion: v1\nkind: Pod\nmetadata:\n name: debug-pod\nspec:\n containers:\n - name: debug\n image: busybox:1.36\n command: [\"sleep\", \"3600\"]<\/code><\/pre>\nEjercicio 5: Probar pol\u00edticas con
opa test<\/code><\/h2>\nPaso 1 \u2014 Crear casos de prueba<\/h3>\n
policy\/tags_test.rego<\/code>:<\/p>\npackage main\n\ntest_latest_denied {\n input := {\n \"kind\": \"Deployment\",\n \"spec\": {\n \"template\": {\n \"spec\": {\n \"containers\": [\n {\n \"name\": \"app\",\n \"image\": \"nginx:latest\"\n }\n ]\n }\n }\n }\n }\n count(deny) > 0\n}\n\ntest_no_tag_denied {\n input := {\n \"kind\": \"Deployment\",\n \"spec\": {\n \"template\": {\n \"spec\": {\n \"containers\": [\n {\n \"name\": \"app\",\n \"image\": \"nginx\"\n }\n ]\n }\n }\n }\n }\n count(deny) > 0\n}\n\ntest_pinned_allowed {\n input := {\n \"kind\": \"Deployment\",\n \"spec\": {\n \"template\": {\n \"spec\": {\n \"containers\": [\n {\n \"name\": \"app\",\n \"image\": \"nginx:1.25.4\"\n }\n ]\n }\n }\n }\n }\n count(deny) == 0\n}<\/code><\/pre>\nPaso 2 \u2014 Ejecutar las pruebas<\/h3>\n
opa test policy\/ -v<\/code><\/pre>\npolicy\/tags_test.rego:\ndata.main.test_latest_denied: PASS (1.234ms)\ndata.main.test_no_tag_denied: PASS (0.567ms)\ndata.main.test_pinned_allowed: PASS (0.432ms)\n--------------------------------------------------------------------------------\nPASS: 3\/3<\/code><\/pre>\nPor qu\u00e9 importan las pruebas de pol\u00edticas<\/h3>\n
*_test.rego<\/code> por cada nuevo archivo de pol\u00edtica. Ejecuta opa test policy\/ -v<\/code> como parte de tu pipeline de CI junto con conftest test<\/code>.<\/p>\nEjercicio 6: Integrar Conftest en GitHub Actions<\/h2>\n
Paso 1 \u2014 Crear el workflow<\/h3>\n
.github\/workflows\/policy-check.yml<\/code>:<\/p>\nname: Kubernetes Policy Check\n\non:\n pull_request:\n paths:\n - \"k8s\/**\"\n - \"policy\/**\"\n push:\n branches: [main]\n paths:\n - \"k8s\/**\"\n - \"policy\/**\"\n\njobs:\n conftest:\n name: Validate K8s Manifests\n runs-on: ubuntu-latest\n steps:\n - name: Checkout repository\n uses: actions\/checkout@v4\n\n - name: Install Conftest\n run: |\n CONFTEST_VERSION=\"0.56.0\"\n wget -q \"https:\/\/github.com\/open-policy-agent\/conftest\/releases\/download\/v${CONFTEST_VERSION}\/conftest_${CONFTEST_VERSION}_Linux_x86_64.tar.gz\"\n tar xzf \"conftest_${CONFTEST_VERSION}_Linux_x86_64.tar.gz\"\n sudo mv conftest \/usr\/local\/bin\/\n conftest --version\n\n - name: Install OPA\n run: |\n OPA_VERSION=\"v0.68.0\"\n curl -L -o opa \"https:\/\/openpolicyagent.org\/downloads\/${OPA_VERSION}\/opa_linux_amd64_static\"\n chmod +x opa\n sudo mv opa \/usr\/local\/bin\/\n opa version\n\n - name: Run policy unit tests\n run: opa test policy\/ -v\n\n - name: Run Conftest against all manifests\n run: |\n echo \"Scanning all Kubernetes manifests in k8s\/ ...\"\n FAILED=0\n for file in k8s\/*.yaml; do\n echo \"\"\n echo \"--- Testing: $file ---\"\n if ! conftest test \"$file\" --policy policy\/; then\n FAILED=1\n fi\n done\n if [ \"$FAILED\" -eq 1 ]; then\n echo \"\"\n echo \"\u274c One or more manifests violated policy. Fix the issues above.\"\n exit 1\n fi\n echo \"\"\n echo \"\u2705 All manifests passed policy checks.\"<\/code><\/pre>\nPaso 2 \u2014 Observar un PR fallido<\/h3>\n
--- Testing: k8s\/deployment-latest-tag.yaml ---\nFAIL - k8s\/deployment-latest-tag.yaml - main - Container 'nginx' uses the ':latest' tag in image 'nginx:latest'. Pin to a specific version.\n\n--- Testing: k8s\/deployment-run-as-root.yaml ---\nFAIL - k8s\/deployment-run-as-root.yaml - main - Container 'nginx' must set securityContext.runAsNonRoot to true.\nFAIL - k8s\/deployment-run-as-root.yaml - main - Container 'nginx' must set securityContext.allowPrivilegeEscalation to false.\n\n--- Testing: k8s\/pod-host-network.yaml ---\nFAIL - k8s\/pod-host-network.yaml - main - Pod 'debug-pod' must not use hostNetwork: true.\n\n\u274c One or more manifests violated policy. Fix the issues above.\nError: Process completed with exit code 1.<\/code><\/pre>\nPaso 3 \u2014 Observar un PR exitoso<\/h3>\n
--- Testing: k8s\/deployment-latest-tag.yaml ---\n1 test, 1 passed, 0 warnings, 0 failures\n\n--- Testing: k8s\/deployment-run-as-root.yaml ---\n1 test, 1 passed, 0 warnings, 0 failures\n\n--- Testing: k8s\/deployment-no-limits.yaml ---\n1 test, 1 passed, 0 warnings, 0 failures\n\n\u2705 All manifests passed policy checks.<\/code><\/pre>\nEjercicio 7: Integrar Conftest en GitLab CI<\/h2>\n
.gitlab-ci.yml<\/code>:<\/p>\nConfiguraci\u00f3n completa funcional<\/h3>\n
stages:\n - validate\n\nconftest-policy-check:\n stage: validate\n image: alpine:3.19\n variables:\n CONFTEST_VERSION: \"0.56.0\"\n OPA_VERSION: \"v0.68.0\"\n before_script:\n - apk add --no-cache curl wget tar\n - wget -q \"https:\/\/github.com\/open-policy-agent\/conftest\/releases\/download\/v${CONFTEST_VERSION}\/conftest_${CONFTEST_VERSION}_Linux_x86_64.tar.gz\"\n - tar xzf \"conftest_${CONFTEST_VERSION}_Linux_x86_64.tar.gz\"\n - mv conftest \/usr\/local\/bin\/\n - curl -L -o \/usr\/local\/bin\/opa \"https:\/\/openpolicyagent.org\/downloads\/${OPA_VERSION}\/opa_linux_amd64_static\"\n - chmod +x \/usr\/local\/bin\/opa\n script:\n - echo \"Running policy unit tests...\"\n - opa test policy\/ -v\n - echo \"Running Conftest against all manifests...\"\n - |\n FAILED=0\n for file in k8s\/*.yaml; do\n echo \"\"\n echo \"--- Testing: $file ---\"\n if ! conftest test \"$file\" --policy policy\/; then\n FAILED=1\n fi\n done\n if [ \"$FAILED\" -eq 1 ]; then\n echo \"\"\n echo \"One or more manifests violated policy.\"\n exit 1\n fi\n echo \"\"\n echo \"All manifests passed policy checks.\"\n rules:\n - changes:\n - k8s\/**\/*\n - policy\/**\/*\n when: always<\/code><\/pre>\nComportamiento de \u00e9xito\/fallo<\/h3>\n
rules<\/code> asegura que el job solo se ejecute cuando cambian los manifiestos de Kubernetes o los archivos de pol\u00edticas, manteniendo el tiempo de ejecuci\u00f3n del pipeline al m\u00ednimo.<\/p>\nAvanzado: Advertencias vs. Denegaciones<\/h2>\n
warn<\/code>.<\/p>\nC\u00f3mo funciona<\/h3>\n
\n
deny[msg]<\/code><\/strong> \u2014 una puerta r\u00edgida. Si cualquier regla deny se activa, conftest test<\/code> sale con un c\u00f3digo distinto de cero y el pipeline falla.<\/li>\nwarn[msg]<\/code><\/strong> \u2014 un aviso. El mensaje se imprime pero el c\u00f3digo de salida permanece en cero, por lo que el pipeline pasa.<\/li>\nconftest test --fail-on-warn<\/code><\/strong> \u2014 opcionalmente promueve todas las advertencias a fallos. \u00datil cuando quieres endurecer gradualmente las pol\u00edticas: empieza con warn<\/code>, y una vez que los equipos hayan corregido las violaciones existentes, cambia a deny<\/code> o habilita --fail-on-warn<\/code>.<\/li>\n<\/ul>\nCrear una pol\u00edtica de asesoramiento<\/h3>\n
policy\/recommendations.rego<\/code>:<\/p>\npackage main\n\nwarn[msg] {\n input.kind == \"Service\"\n input.spec.type == \"LoadBalancer\"\n not input.metadata.annotations\n msg := sprintf(\"Service '%s' is of type LoadBalancer with no annotations. Consider adding cloud-provider-specific annotations for internal load balancers.\", [input.metadata.name])\n}\n\nwarn[msg] {\n input.kind == \"Deployment\"\n container := input.spec.template.spec.containers[_]\n not container.readinessProbe\n msg := sprintf(\"Container '%s' has no readinessProbe. Add one so Kubernetes can route traffic only to healthy pods.\", [container.name])\n}\n\nwarn[msg] {\n input.kind == \"Deployment\"\n container := input.spec.template.spec.containers[_]\n not container.livenessProbe\n msg := sprintf(\"Container '%s' has no livenessProbe. Add one so Kubernetes can restart unhealthy pods.\", [container.name])\n}<\/code><\/pre>\nProbar la pol\u00edtica de asesoramiento<\/h3>\n
conftest test k8s\/service-loadbalancer.yaml<\/code><\/pre>\nWARN - k8s\/service-loadbalancer.yaml - main - Service 'web-lb' is of type LoadBalancer with no annotations. Consider adding cloud-provider-specific annotations for internal load balancers.\n\n1 test, 1 passed, 1 warning, 0 failures<\/code><\/pre>\n0<\/code> \u2014 el pipeline sigue pasando. Si quieres forzar las advertencias:<\/p>\nconftest test k8s\/service-loadbalancer.yaml --fail-on-warn<\/code><\/pre>\n1<\/code> y el pipeline fallar\u00eda.<\/p>\nLimpieza<\/h2>\n
# Remove the lab directory\nrm -rf conftest-k8s-lab\n\n# If you deployed any fixed manifests to a test cluster\nkubectl delete -f k8s\/ --ignore-not-found\n\n# If you created a kind cluster for this lab\nkind delete cluster --name conftest-lab<\/code><\/pre>\nConclusiones clave<\/h2>\n
\n
opa test<\/code> con casos de prueba expl\u00edcitos positivos y negativos para prevenir regresiones en tu biblioteca de reglas.<\/li>\nwarn<\/code>, social\u00edzalas con el equipo, y prom\u00f3cionalas a deny<\/code> una vez que se resuelvan las violaciones existentes.<\/li>\nsprintf<\/code> en cada regla para indicar al desarrollador qu\u00e9 contenedor, qu\u00e9 campo y qu\u00e9 hacer al respecto. Los mensajes gen\u00e9ricos de \u201cpol\u00edtica violada\u201d erosionan la confianza en las puertas de CI.<\/li>\npolicy\/<\/code> con k8s\/<\/code> significa que los cambios de pol\u00edticas pasan por el mismo proceso de revisi\u00f3n que los cambios de infraestructura.<\/li>\n<\/ul>\nPr\u00f3ximos pasos<\/h2>\n
\n