Red Hat Summit第1章 Red Hat Advanced Cluster Security for Kubernetes 3.71
Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、ビルド、デプロイ、ランタイム全体で重要なアプリケーションを保護する、エンタープライズ対応の Kubernetes ネイティブコンテナーセキュリティーソリューションです。インフラストラクチャーにデプロイし、DevOps ツールおよびワークフローと統合して、より優れたセキュリティーとコンプライアンスを提供し、DevOps および InfoSec チームがセキュリティーを運用できるようにします。
2022 年 10 月 20 日に出されたアップストリームの脆弱性フィードで予期しないスキーマが変更され、Red Hat は破損した CVE データファイルを https://definitions.stackrox.io に公開し、多くの Central インスタンスが破損したファイルをダウンロードしました。その結果、Central が破損したフィードデータを処理すると失敗し、CrashLoopBackOff の状態になります。Red Hat は、破損した CVE データファイルを修正する手順をすでに完了していますが、すでに影響を受けている Central インスタンスでは、CrashLoopBackOff の状態から自動で抜け出すことはできません。Central を機能する状態に戻すには、CrashLoopBackOff - 2022-10-20 Incident の Central の手順に従います。
RHACS 3.71 には、以下が含まれます。
- 効率を高める新たなトップレベルのダッシュボード
- セキュリティー体制の改善に役立つ 2 つの新しいデフォルトポリシー
- eBPF をデフォルトのコレクションメソッドとして設定してパフォーマンス向上を実現する機能
- その他の機能拡張とバグ修正
| RHACS バージョン | リリース日 |
|---|---|
|
| 2022 年 7 月 25 日 |
|
| 2022 年 10 月 5 日 |
|
| 2022 年 10 月 17 日 |
|
| 2022 年 12 月 13 日 |
1.1. 新機能
1.1.1. 新しい RHACS ダッシュボード
RHACS では、必要なデータにすばやくアクセスできるように設計された新しいトップレベルのダッシュボードが導入されています。追加のナビゲーションショートカットと、簡単にフィルターリングおよびカスタマイズできるアクション可能なウィジェットのパネルが提供されるため、最も重要なことに集中できます。ダッシュボードにどのウィジェットを追加したいか、どのようにカスタマイズしたいかなど、今後の機能拡張に役立つフィードバックをお待ちしております。
RHACS 3.71 でのダッシュボードの変更点については、次のセクションで説明します。詳細は、Viewing the Dashboard を参照してください。
1.1.1.1. ステータスバーのハイパーリンク
Status Bar には、ひと目で把握できる主要なリソースの数値カウンターがあります。カウンターには、ユーザープロファイルに関連付けられたロールで定義された現在のアクセススコープで表示できるものが反映されます。これらのカウンターはクリック可能で、以下のように必要なリストビューページに迅速にアクセスできます。
| カウンター | 宛先 |
|---|---|
| クラスター |
Platform Configuration |
| ノード |
Configuration Management |
| Violations | Violations のメインメニュー |
| デプロイメント |
Configuration Management |
| イメージ |
Vulnerability Management |
| シークレット |
Configuration Management |
1.1.1.2. ダッシュボードフィルター
ダッシュボードには、すべてのウィジェットに同時に適用されるトップレベルフィルターが含まれるようになりました。1 つ以上のクラスター、および選択したクラスター内の 1 つ以上の名前空間を選択できます。クラスターまたは名前空間が選択されていない場合、ビューは自動的に All に切り替わります。フィルターへの変更はすべてのウィジェットで即座に反映され、データの表示は選択されたスコープに制限されます。ダッシュボードフィルターは Status Bar には影響しません。
1.1.1.3. ウィジェットのオプション
一部のウィジェットはカスタマイズ可能になり、最も重要な点に焦点を当てることができるようになりました。ウィジェットは、データの並べ替え方法を変更したり、データをフフィルターリングしたり、ウィジェットの出力をカスタマイズするのに役立つさまざまなコントロールを提供します。
ウィジェットでは、さまざまな側面をカスタマイズする 2 つの方法を使用できます。
- Options メニュー (存在する場合) は、そのウィジェットに適用される特定のオプションを提供します。
- dynamic axis legen (存在する場合) は、1 つ以上の軸カテゴリーを非表示にしてデータをフィルターリングできます。たとえば、Policy violations by category ウィジェットでは、重大度をクリックして、データから該当する違反を包含または除外できます。
個々のウィジェットのカスタマイズ設定は有効期間が短く、ダッシュボードを離れるとシステムのデフォルトにリセットされます。
1.1.1.4. 操作可能なウィジェット
ダッシュボードでは、次の操作可能なウィジェットを使用できます。
- Policy violations by severity: このウィジェットでは、ダッシュボードでフィルターリングされたスコープの重大度レベル全体における違反の分布が表示されます。チャートで 重大度レベル をクリックすると、その重大度およびスコープでフィルターリングされた Violations ページに移動します。また、ダッシュボードのフィルターで定義したスコープ内で、Critical レベルのポリシーに対する再審の違反 3 件が一覧表示されます。特定の違反をクリックすると、その違反の Violations 詳細ページに直接移動します。
Images at most risk: このウィジェットでは、ダッシュボードでフィルター処理されたスコープ内の上位 6 つの脆弱なイメージが、計算されたリスクの優先度と、それらに含まれる重大および重要な、一般的な脆弱性と露出 (CVE) の数で並べ替えて一覧表示されます。イメージ名をクリックすると、Vulnerability Management の Image Findings ページに直接移動します。Options メニューを使用して、修正可能な CVE に焦点を当てるか、アクティブなイメージにさらに焦点を当てます。
注記ダッシュボードフィルターでクラスターまたは名前空間が選択されている場合、表示されるデータは、アクティブなイメージ、もしくはフィルターリングされたスコープ内のデプロイメントで使用されるイメージにフィルターリングされています。
- Deployment at most risk: このウィジェットでは、Top risky deployments ウィジェットで使用できていた情報を提供しますが、リソースの場所 (クラスターと名前空間) やリスク優先度スコアなどの追加情報を表示します。さらに、デプロイメントをクリックして、ポリシー違反や脆弱性などのデプロイメントに関するリスク情報を表示することもできます。
-
Aging images: 古いイメージには、すでに対処されている脆弱性が含まれる可能性があるため、セキュリティーリスクが高くなります。古いイメージがアクティブであれば、デプロイメントが不正使用される可能性があります。このウィジェットを使用すると、セキュリティー体制を迅速に評価し、問題のあるイメージを特定することができます。デフォルトの範囲を使用するか、または独自の値で期間をカスタマイズできます。非アクティブなイメージとアクティブなイメージの両方を表示するか、ダッシュボードフィルターを使用してアクティブなイメージの特定領域に焦点を当てることができます。このウィジェットで期間グループをクリックすると、該当するイメージのみを Vulnerability Management
Images ページに表示できます。 - Policy violations by category: このウィジェットは、どのタイプのポリシーの違反が他よりも多いかを分析することにより、組織が直面しているセキュリティーポリシーの準拠に関する課題についての洞察を得るのに役立ちます。ウィジェットには、関心の高い 5 つのポリシー カテゴリーが表示されます。データを切り取るさまざまな方法については、Options メニューを確認してください。データをフィルターリングして、デプロイまたはランタイム違反のみにフォーカスできます。また、並べ替えモードを変更することもできます。デフォルトでは、データは重大度が最も高い違反の数で並べ替えられます。そのため、重要なポリシーを持つすべてのカテゴリーは、重要なポリシーを持たないカテゴリーの前に表示されます。他の並べ替えモードは、重大度に関係なく違反の合計数を考慮します。一部のカテゴリーには重要なポリシーが含まれていないため (Docker CIS など)、2 つの並べ替えモードは大幅に異なるビューを提供し、追加の洞察を提供します。グラフの下部にある重大度レベルをクリックすると、そのレベルをデータに含めたり除外したりできるため、異なる上位 5 件やランキング順序が表示される可能性があります。データは、ダッシュボードフィルターで選択されたスコープにフィルターリングされます。
- Compliance by standard: Compliance ウィジェットは、過去に含まれていた同様のウィジェットが改善されています。ダッシュボードフィルターを使用して、最も重要な領域にフォーカスできます。ウィジェットには、並べ替え順序に応じて、上位または下位 6 件のコンプライアンスベンチマークが一覧表示されます。Options を選択して、それぞれのカバレッジ パーセンテージで並べ替えます。ベンチマークラベルまたはグラフのいずれかをクリックして、ダッシュボードスコープと選択したベンチマークでフィルターリングされた Compliance Controls ページに直接移動します。
1.1.1.5. 削除されたウィジェット
- Individual Policy Category widgets: 以前の製品バージョンには、重大度レベルにおけるポリシー違反の分布を示すウィジェットのセットが含まれていました。このウィジェットは、ポリシーカテゴリーごとに自動的に生成されていました。同様のデータを表示するには、Policy violations by category を使用し、カテゴリーをクリックして同じ Violations ページ に移動します。
- Active violations by time: これまでの製品バージョンには、7 日間の違反数を示す線グラフが含まれていました。このグラフは、より包括的な履歴メトリックが必要であるという理解に基づき削除されました。このトピックは、製品拡張リクエストとみなされています。
1.1.2. 権限昇格の新しいデフォルトポリシー
この新しいデフォルトポリシーは、allowPrivilegeEscalation が true に設定されたコンテナーでデプロイメントが実行されているかどうかを検出します。このポリシーは、デフォルトで有効になっています。Kubernetes Pod では、デフォルトで権限昇格設定が有効になっています。親プロセスよりも多くの権限で実行可能なコンテナープロセスでは、意図しない権限でコンテナーを実行できるため、セキュリティーリスクが生じます。このポリシーは、権限昇格が必要であるかどうかを検証できるようにアラートを提供します。たとえば、必要な権限を他のコントロールのサブセットで提供できない場合に必要になることがあります。
1.1.3. 外部公開サービスの新しいデフォルトポリシー
この新しいポリシーは、デプロイメントに何らかの方法で外部に公開されるサービスがあるかどうかを検出します。ポリシーはデフォルトで無効になっています。クラスター外に公開されるサービスを使用するデプロイメントは、クラスター外から到達できるため、侵入を試みるリスクが高くなります。このポリシーは、クラスター外にサービス公開する必要があるか検証できるように、アラートを提供します。サービスがクラスター内の通信のみに必要な場合は、サービスタイプ ClusterIP を使用します。
1.1.4. 複数の RHACS ロールをユーザーおよびグループに割り当てる機能
RHACS のロールベースアクセス制御 (RBAC) が拡張され、複数のロールを単一のユーザーまたはグループに割り当てることが可能になりました。以前は、キーと値のペアは単一のロールにしか割り当てることができませんでした。これで、キーと値のペアを複数の RHACS ロールに割り当てられるようになりました。この変更により、既存のロールを再利用し、ロール管理を簡素化できます。詳細は、Managing RBAC in Red Hat Advanced Cluster Security for Kubernetes を参照してください。
1.1.5. 違反の Deployment タブのネットワークポリシーリスト
Kubernetes ネットワークポリシーの欠落違反の解決に役立つ新しい情報セクションが追加されました。違反を表示する際に、Deployment タブを選択し、新しい Network policy セクションまでスクロールします。問題のあるデプロイメントの名前空間に適用されるすべての Kubernetes ネットワークポリシーが一覧表示されます。このリストを使用すると、名前空間に存在するネットワークポリシーを確認することがでるため、ネットワークポリシーの欠落としてデプロイメントにフラグが立てられた理由を判断しやすくなります。
1.1.6. Alpine 3.16 サポート
スキャナーで Alpine 3.16 がサポート対象になりました。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}