5.4. カスタムポリシーの作成

手順

1. RHACS ポータルで、Platform Configuration Policies に移動します。
2. Create policy をクリックします。

3. Policy details セクションに、ポリシーに関する以下の情報を入力します。

   • ポリシーの Name を入力します。

   • オプション: Attach notifiers セクションの下にある利用可能な Notifier から選択して、通知機能 をポリシーに割り当てることもできます。

     注記

     アラートを転送する前に、Red Hat Advanced Cluster Security for Kubernetes を通知プロバイダー (Webhook、Jira、PagerDuty、Splunk など) と統合する必要があります。

   • このポリシーの 重大度 レベルを選択します (Critical、High、Medium、または Low のいずれか)。
   • このポリシーに適用するポリシーの Categories を選択します。
   • Description ボックスに、ポリシーの詳細を入力します。
   • Rationale ボックスにポリシーが存在する理由についての説明を入力します。
   • Guidance ボックスでこのポリシーの違反を解決するための手順を入力します。

   • オプション: MITRE ATT&CK セクションで、ポリシーに指定する tactics and the techniques を選択します。

     1. Add tactic をクリックし、ドロップダウンリストから調整を選択します。
     2. Add technique をクリックして、選択した戦略の手法を追加します。戦略には、複数の手法を指定できます。
4. Next をクリックします。

5. Policy behavior セクションで、ポリシーの Lifecycle stages および Event sources(Runtime lifecycle only) を選択します。

   • Build、Deploy、または Runtimeポリシーを適用する Lifecycle Stages を選択します。複数のステージを選択できます。

     • ビルド時ポリシーは、CVE や Dockerfile 手順などのイメージフィールドに適用されます。
     • デプロイ時のポリシーにはすべてのビルドタイムポリシー条件を含めることができますが、特権モードで実行したり、Docker ソケットをマウントするなど、クラスター設定からのデータを含めることもできます。
     • ランタイムポリシーには、すべてのビルド時およびデプロイ時のポリシー条件を含めることができますが、ランタイム時のプロセス実行に関するデータを含めることもできます。

6. Response method には、以下のいずれかを選択します。

   1. Inform (違反の一覧に違反を追加する)。

   2. または Inform and enforce (アクションを適用する) を選択します。

      • ポリシーの適用動作を選択します。Lifecycle Stages の設定時に選択したステージでのみ使用できます。ON (有効化) を選択してポリシーを適用して違反を報告し、OFF (disable) を選択して違反を報告します。適用の振る舞いは、ライフサイクルの各ステージで異なります。

        • Build: Red Hat Advanced Cluster Security for Kubernetes は、イメージがポリシーの条件と一致すると継続的インテグレーション (CI) ビルドに失敗します。
        • Deploy: Red Hat Advanced Cluster Security for Kubernetes は、ポリシーの条件に一致するデプロイの作成をブロックします。アドミッションコントローラーが適用されているクラスターでは、Kubernetes または OpenShift Container Platform サーバーがすべての非準拠のデプロイメントをブロックします。他のクラスターでは、Red Hat Advanced Cluster Security for Kubernetes が非準拠のデプロイメントを編集して、Pod がスケジュールされないようにします。

        • runtime: Red Hat Advanced Cluster Security for Kubernetes は、ポリシーの条件に一致するすべての Pod を強制終了するか、または Pod で実行されたアクションをブロックします。

          警告

          ポリシーの適用は、実行中のアプリケーションまたは開発プロセスに影響を与える可能性があります。適用オプションを有効にする前に、すべての利害関係者に通知し、自動適用アクションに対応する方法を計画してください。

7. Next をクリックします。
8. Policy criteria セクションで、ポリシーをトリガーする属性を設定します。
9. Next をクリックします。

10. Policy scope セクションで、以下を設定します。

    • Add inclusion scope をクリックして、Restrict to Scope を使用し、特定のクラスター、namespace、またはラベルだけに、このポリシーを有効にします。複数のスコープを追加したり、namespaces とラベルの RE2 Syntax で正規表現を使用したりすることもできます。
    • Add exclusion scope をクリックして Exclude by Scope を使用して、指定するデプロイメント、クラスター、namespace、およびラベルを除外するために、選択したエンティティーに対象のポリシーが適用されないことを意味します。複数のスコープを追加したり、namespaces とラベルの RE2 Syntax で正規表現を使用したりすることもできます。ただし、デプロイメントの選択に正規表現を使用することはできません。

    • Excluded Images (Build Lifecycle only) の場合は、違反をトリガーしないすべてのイメージを選択します。

      注記

      Excluded Images 設定は、build ライフサイクルステージで継続的インテグレーションシステムでイメージを確認する場合にのみ適用されます。このポリシーを使用して、実行中のデプロイメント (Deploy ライフサイクルステージ) またはランタイムアクティビティー (Runtime ライフサイクルステージ) をチェックする場合、効果はありません。

11. Next をクリックします。
12. Review policy セクションで、ポリシー違反をプレビューします。
13. Save をクリックします。