5.3. セキュリティーポリシーの作成と変更

手順

1. ポリシーの Name を入力します。ポリシーの名前は 5 - 128 文字までで、改行やドル記号を含めることはできません。
2. ポリシーの Severity レベルを選択します。
3. Select categories リストから、ポリシーのカテゴリーを選択します。ポリシーには、1 つまたは複数のカテゴリーを選択できます。
4. Description フィールドにポリシーの詳細を入力します。
5. Rationale フィールドにポリシーが存在する理由の説明を入力します。
6. Guidance フィールドにポリシーの違反を解決するための手順を入力します。

7. ポリシーに指定する 戦術と手法 を選択します。

   1. Add tactic リストから戦術を選択します。
   2. Add technique リストから、戦術の手法を選択します。戦術には、1 つまたは複数の手法を指定できます。
8. Next をクリックします。

手順

1. ポリシーの Lifecycle stages を選択します。

   ライフサイクルステージに関連するオプションは以下のとおりです。

   ビルド

   このステージのポリシーでは、イメージレジストリー、コンテンツ、脆弱性データ、スキャンプロセスなどのイメージ基準を検査します。これらのポリシーは、ビルドプロセス中に CI パイプラインによって評価されます。適用を有効にすると、ポリシー違反が発生した場合にビルドが失敗します。RHACS はこのステージの違反情報を保存しません。

   デプロイ

   このステージのポリシーでは、ワークロード設定とそのイメージを検査します。RHACS は、ユーザーがワークロードリソースを作成または更新する際にこれらのポリシーを評価し、定期的に、または必要に応じてポリシーを再評価します。適用を有効にすると、ポリシー違反が発生した場合に、アドミッションコントローラーがデプロイメントまたは更新の試行を拒否するか、ワークロードのレプリカ数をゼロにスケーリングします。

   ビルドおよびデプロイ

   ビルドパイプラインとワークロードアドミッションの両方でポリシーによってイメージを検査し、どちらか一方または両方のステージで適用を実行する場合は、このステージを選択します。

   ランタイム

   このステージのポリシーでは、以下のイベントソースに関連付けられたワークロードアクティビティーまたは Kubernetes リソース操作を検査します。

   デプロイメント

   ワークロードのアクティビティーに対してランタイムポリシーを使用するには、少なくとも 1 つのワークロードアクティビティー基準を含める必要があります。ワークロードアクティビティー基準は、イメージ基準またはワークロード設定基準と組み合わせることができます。適用を有効にすると、RHACS は違反している Pod を終了させます。その後、オーケストレーターが Pod を再作成します。

   監査ログ

   Kubernetes リソースの操作を評価するランタイムポリシーは、Kubernetes の監査ログを使用して機密性の高い操作を検出します。このソースを使用するポリシーについては、すでに操作が実行されているため、適用を設定することができません。

   ノード

   Kubernetes ノードのホストオペレーティングシステム上のファイルアクティビティーを監視するランタイムポリシー。このポリシーは、ホスト上の実際のファイルパスを使用することで、機密性の高いシステムファイルへの変更など、不正なファイル操作を検出します。このイベントソースを使用するポリシーは、RHACS コンソールでの自動適用や除外をサポートしていません。

2. Next をクリックします。

手順

1. ポリシーをトリガーする条件を設定します。ルールのタイトルを編集できます。たとえば、Rule 1 をよりわかりやすいものに変更できます。

2. 各ルールについて、ポリシーフィールドをクリックしてポリシーセクションにドラッグし、ポリシーフィールドまたは基準を追加します。

   注記

   利用可能なポリシーフィールドは、ポリシーに選択したライフサイクルステージによって異なります。たとえば、Networking または Workload activity に関連する基準は、ランタイムライフサイクルのポリシーを作成する際には利用できますが、ビルドライフサイクルのポリシーを作成する際には利用できません。ポリシー基準の詳細 (基準や、それらが利用可能なライフサイクルフェーズに関する情報など) は、「ポリシー基準」を参照してください。

3. フィールドごとに、フィールドに固有のオプションから選択できます。これらはフィールドの種類によって異なります。以下に例を示します。

   • 文字列の値の場合、デフォルトの動作はポリシーフィールドにマッチさせることです。マッチさせない場合は、Not チェックボックスを選択します。
   • 一部のフィールドには、true または false のいずれかの値が含まれています。
   • 一部のフィールドでは、ドロップダウンリストから値を選択する必要があります。
   • Read-Only Root Filesystem などのブール値を持つ属性を選択した場合は、READ-ONLY および WRITABLE オプションを使用できます。

   • Environment variable などの複合値を持つ属性を選択した場合は、Key、Value、Value From フィールドに値を入力し、アイコンをクリックして使用可能なオプションにさらに値を追加できます。

     注記

     ポリシー基準に使用できる値の詳細は、「ポリシー基準」を参照してください。

4. 属性に複数の値を組み合わせるには、Add value of policy field アイコンをクリックします。
5. オプション: ルールを追加するには、Add a new rule をクリックします。
6. Next をクリックします。

手順

1. スコープを作成して、ポリシーを制限または環境内のエンティティーから除外します。

   注記

   ノードイベントソースはスコープをサポートしていません。

   Restrict by scope

   この設定は、特定のクラスター、namespace、またはデプロイメントラベルにポリシーを適用するために使用します。1 つ以上のスコープを追加できるほか、namespace やラベルに RE2 構文 の正規表現を使用することもできます。

   Exclude by scope

   特定のデプロイメント、クラスター、namespace、およびデプロイメントラベルをポリシーから除外します。ポリシーは、選択したエンティティーには適用されません。1 つ以上のスコープを追加できるほか、namespace やラベルに RE2 構文 の正規表現を使用することもできます。

   注記

   この機能は、デプロイおよびランタイムライフサイクルステージ用に設定されたポリシーでのみ使用できます。

   Exclude images

   ビルドライフサイクルステージ用に設定されたポリシーの場合、ポリシーからイメージを除外できます。違反をトリガーしたくないイメージを選択します。

   注記

   Excluded Images 設定は、継続的インテグレーションシステムにおいて、ビルド ライフサイクルステージでイメージをチェックする場合にのみ適用されます。このポリシーを使用して、デプロイ ライフサイクルステージで実行中のデプロイメントをチェックする場合、または ランタイム ライフサイクルステージでランタイムアクティビティーをチェックする場合は、効果がありません。

2. Next をクリックします。

手順

1. ポリシー違反に対処する方法を選択します。

   注記

   ノードイベントソースの場合、適用は利用できません。

   Inform

   違反を違反リストに追加します。

   Inform and enforce

   違反を違反リストに追加し、設定済みのアクションを実行します。このオプションを選択した場合は、適切なライフサイクルの切り替えを使用して適用の動作を選択する必要があります。

2. ポリシー適用を選択した場合は、適用の動作を設定します。選択できる適用動作は、ポリシー定義の Lifecycle セクションでポリシーに対して選択したライフサイクルステージによって異なります。

   ライフサイクルステージに応じて、以下の適用動作を利用できます。

   ビルド

   イメージがポリシーの基準に一致する場合に、RHACS に継続的インテグレーション (CI) ビルドを失敗させるには、Enforce on Build をオンに設定します。roxctl CLI をダウンロードし、roxctl image check コマンドがそのポリシーと連携して動作するように設定できます。

   デプロイ

   ポリシーの基準に一致するワークロードのアドミッションまたは更新を RHACS にブロックさせるには、Enforce on Deploy をオンに設定します。この適用を有効にするには、RHACS アドミッションコントローラーを設定して実行する必要があります。

   • アドミッションコントローラーによる適用があるクラスターでは、Kubernetes または OpenShift Container Platform API サーバーが、すべての非準拠のデプロイメントをブロックします。アドミッションコントローラーによる適用がないクラスターでは、RHACS は非準拠のデプロイメントを修正して、Pod のスケジューリングを防止します。
   • 既存のデプロイメントに対しては、ポリシーを変更しても、次に Kubernetes イベントが発生してその基準が検出された時にのみ、適用が実行されます。適用に関する詳細は、「デプロイステージでの適用」を参照してください。

   ランタイム

   Pod 内のイベントがポリシーの基準に一致した場合に、RHACS にすべての Pod を削除させるには、Enforce on Runtime をオンに設定します。

   警告

   ポリシー適用は、実行中のアプリケーションや開発プロセスに影響を与える可能性があります。適用オプションを有効にする前に、すべての関係者に通知し、自動適用アクションへの対応方法を計画してください。

手順

1. ポリシー違反が発生した際に RHACS が通知に使用する通知機能を 1 つ以上選択します。
2. Next をクリックします。

手順

1. ポリシー設定が正しいオプションで設定されていることを確認します。

2. Preview policy violations パネルで結果を表示し、ポリシーが機能していることを確認します。このパネルには、ビルドフェーズまたはデプロイフェーズのデプロイメントにポリシー違反があるかどうかなどの追加情報が提供されます。

   注記

   ランタイムの違反は、将来イベントが発生した際に生成されるため、このプレビューには表示されません。

   ポリシーを保存する前に、違反が正確であるかどうかを確認してください。

3. Save をクリックします。

手順

1. 監視対象のノードまたはデプロイメントでファイルアクティビティー違反をトリガーするには、次のコマンドを実行します。以下に例を示します。

   $ touch /etc/passwd

2. 適切な方法を選択し、アラートが表示されていることを確認します。

   • デプロイメント用ポリシーの場合は、以下の手順を実行します。

     1. RHACS ポータルで、Violations をクリックします。
     2. アラートがリストに表示されていることを確認します。

   • ノードポリシーの場合は、通知機能がアラートを受信していることを検証するか、alerts API にクエリーを実行して違反に関する JSON データを探します。

     注記

     ノードの違反は RHACS ポータルに表示されません。この種のアラートを表示するには、API または設定済みの通知機能を使用してください。