|
|
### Dienste und Service-Accounts
|
|
|
|
|
|
Der Softwarelieferant MUSS...
|
|
|
- bei der Nutzung von CRON-Jobs die unterstützten Mechanismen der Containerplattform zur Ausführung nutzen. [^1] (SYS.1.6.A9 S)
|
|
|
- bei Neuentwicklungen die Software so gestalten, dass jeder Container nur einen Dienst bereitstellt. (SYS.1.6.A11 S)
|
|
|
- für Dienste, die unterschiedlich skalieren oder auf verschiedenen Worker-Nodes betrieben werden sollen, verschiedene Deployments ermöglichen. [^2] (SYS.1.6.A11 S)
|
|
|
- ein Manifest oder eine Definitionsdatei für Service-Accounts seiner Applikation auf Namespace-Ebene bereitstellen. (APP.4.4.A9 S)
|
|
|
- die Software so gestalten, dass für Pods verschiedener Anwendungen jeweils eigene Service-Accounts genutzt werden. (APP.4.4.A9 S)
|
|
|
- die Software so entwickeln, dass die Service-Accounts mit den geringst möglichen Berechtigungen (Least-Privilege) betrieben werden können. (APP.4.4.A9 S)
|
|
|
* bei der Nutzung von CRON-Jobs die unterstützten Mechanismen der Containerplattform zur Ausführung nutzen.[^1] (SYS.1.6.A9 S)
|
|
|
* bei Neuentwicklungen die Software so gestalten, dass jeder Container nur einen Dienst bereitstellt. (SYS.1.6.A11 S)
|
|
|
* für Dienste, die unterschiedlich skalieren oder auf verschiedenen Worker-Nodes betrieben werden sollen, verschiedene Deployments ermöglichen.[^2] (SYS.1.6.A11 S)
|
|
|
* ein Manifest oder eine Definitionsdatei für Service-Accounts seiner Applikation auf Namespace-Ebene bereitstellen. (APP.4.4.A9 S)
|
|
|
* die Software so gestalten, dass für Pods verschiedener Anwendungen jeweils eigene Service-Accounts genutzt werden. (APP.4.4.A9 S)
|
|
|
* die Software so entwickeln, dass die Service-Accounts mit den geringst möglichen Berechtigungen (Least-Privilege) betrieben werden können. (APP.4.4.A9 S)
|
|
|
|
|
|
Der Softwarelieferant SOLL...
|
|
|
- die Container so auslegen, dass eine horizontale Skalierung möglich ist. (SYS.1.6.A9 S)
|
|
|
- die Software so gestalten, dass jeder Container nur einen Dienst bereitstellt. [^3] (SYS.1.6.A11 S)
|
|
|
- die Software so gestalten, dass Pods nicht den default-Service-Account benötigen. [^4] (APP.4.4.A9 S)
|
|
|
|
|
|
---
|
|
|
|
|
|
**Umsetzungshinweise**
|
|
|
* die Container so auslegen, dass eine horizontale Skalierung möglich ist. (SYS.1.6.A9 S)
|
|
|
* die Software so gestalten, dass jeder Container nur einen Dienst bereitstellt.[^3] (SYS.1.6.A11 S)
|
|
|
* die Software so gestalten, dass Pods nicht den default-Service-Account benötigen.[^4] (APP.4.4.A9 S)
|
|
|
|
|
|
[^1]: Beispielsweise müssen CronJobs in Kubernetes oder als Implementierung in der Anwendung umgesetzt werden.
|
|
|
|
... | ... | |