ホーム
製品
Red Hat Advanced Cluster Management for Kubernetes
2.15
ガバナンス
4.14. イメージ脆弱性ポリシー

4.14. イメージ脆弱性ポリシー

イメージ脆弱性ポリシーを適用し、コンテナーセキュリティー Operator を利用してコンテナーイメージに脆弱性があるかどうかを検出します。このポリシーは、コンテナーセキュリティー Operator がインストールされていない場合は、これをマネージドクラスターにインストールします。

イメージ脆弱性ポリシーは、Kubernetes 設定ポリシーコントローラーがチェックします。セキュリティー Operator の詳細は、Quay リポジトリーの コンテナーセキュリティー Operator を参照してください。

注記:

イメージ脆弱性ポリシーは、非接続インストール中は機能しません。
イメージ脆弱性ポリシーは、ARM アーキテクチャーではサポートされていません。

詳細は、以下のセクションを参照してください。

4.14.1. イメージ脆弱性ポリシーの YAML 設定
リンクのコピー

コンテナーセキュリティー operator ポリシーを作成すると、次のポリシーが含まれます。

名前とチャネルを参照するサブスクリプション (container-security-operator) を作成するポリシー。この Operator ポリシーには、リソースを作成するために enforce する spec.remediationAction が設定されている必要があります。以下の例を参照してください。

apiVersion: policy.open-cluster-management.io/v1beta1
kind: OperatorPolicy
metadata:
  name: operatorpolicy-imagemanifestvuln
spec:
  remediationAction: enforce
  severity: high
  complianceType: musthave
  upgradeApproval: Automatic
  subscription:
    name: container-security-operator
    namespace: openshift-operators
    source: redhat-operators
    sourceNamespace: openshift-marketplace

apiVersion: policy.open-cluster-management.io/v1beta1
kind: OperatorPolicy
metadata:
  name: operatorpolicy-imagemanifestvuln
spec:
  remediationAction: enforce
  severity: high
  complianceType: musthave
  upgradeApproval: Automatic
  subscription:
    name: container-security-operator
    namespace: openshift-operators
    source: redhat-operators
    sourceNamespace: openshift-marketplace

Copy to Clipboard

Toggle word wrap

ImageManifestVuln オブジェクトがイメージの脆弱性スキャンによって作成されたかどうかを監査する inform 設定ポリシー。以下の例を参照してください。

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-example-imv
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  namespaceSelector:
    exclude: ["kube-*"]
    include: ["*"]
  object-templates:
    - complianceType: mustnothave # mustnothave any ImageManifestVuln object
      objectDefinition:
        apiVersion: secscan.quay.redhat.com/v1alpha1
        kind: ImageManifestVuln # checking for a Kind

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-imagemanifestvuln-example-imv
spec:
  remediationAction: inform  # will be overridden by remediationAction in parent policy
  severity: high
  namespaceSelector:
    exclude: ["kube-*"]
    include: ["*"]
  object-templates:
    - complianceType: mustnothave # mustnothave any ImageManifestVuln object
      objectDefinition:
        apiVersion: secscan.quay.redhat.com/v1alpha1
        kind: ImageManifestVuln # checking for a Kind

Copy to Clipboard

Toggle word wrap

4.14.2. イメージ脆弱性ポリシーの例
リンクのコピー

詳細は以下を参照してください。

セキュリティーポリシーの管理と policy-imagemanifestvuln.yaml を参照してください。
設定コントローラーによって監視されるその他の設定ポリシーは、Kubernetes 設定ポリシーコントローラーを参照してください。

トップに戻る

4.14. イメージ脆弱性ポリシー

4.14.1. イメージ脆弱性ポリシーの YAML 設定
リンクのコピー

4.14.2. イメージ脆弱性ポリシーの例
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.14. イメージ脆弱性ポリシー

4.14.1. イメージ脆弱性ポリシーの YAML 設定リンクのコピーリンクがクリップボードにコピーされました!

4.14.2. イメージ脆弱性ポリシーの例リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.14.1. イメージ脆弱性ポリシーの YAML 設定
リンクのコピー

4.14.2. イメージ脆弱性ポリシーの例
リンクのコピー