Red Hat Summitリリースノート
Red Hat Advanced Cluster Security for Kubernetes リリースの主な新機能と変更点
概要
第1章 Red Hat Advanced Cluster Security for Kubernetes 4.3
Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、エンタープライズ対応の Kubernetes ネイティブのコンテナーセキュリティーソリューションであり、アプリケーションライフサイクルのビルド、デプロイ、ランタイムの各段階で重要なアプリケーションを保護します。Red Hat Advanced Cluster Security for Kubernetes はインフラストラクチャーにデプロイされ、DevOps ツールおよびワークフローと統合されます。この統合により、セキュリティーとコンプライアンスが向上し、DevOps チームと InfoSec チームがセキュリティーを運用できるようになります。
| RHACS バージョン | リリース日 |
|---|---|
|
| 2023 年 11 月 15 日 |
|
| 2023 年 12 月 11 日 |
|
| 2024 年 1 月 8 |
|
| 2024 年 1 月 16 日 |
|
| 2024 年 1 月 22 日 |
|
| 2024 年 3 月 13 日 |
|
| 2024 年 3 月 29 日 |
|
| 2024 年 5 月 15 日 |
|
| 2024 年 6 月 11 日 |
1.1. このリリースについて
RHACS 4.3 には、新機能、改善、更新が追加されています。
1.2. 新機能
今回のリリースでは、以下のコンポーネントおよび概念に関連する拡張機能が追加されました。
1.2.1. ハードウェアとソフトウェアのサポートの強化
次のハードウェアおよびソフトウェアに対する RHACS サポートが強化されました。
- Red Hat OpenShift on IBM Cloud: RHACS を使用して Red Hat OpenShift on IBM Cloud を保護できるようになりました。このリリースでは、IBM Cloud 上の Red Hat OpenShift で保護されたクラスターを実行できます。
- IBM Power および IBM Z: RHACS Central Services が IBM Power および IBM Z でサポートされるようになりました。
- Red Hat OpenShift Service on AWS : RHACS は、ROSA Hosted Control Plane (HCP) 対応クラスターでサポートされています。
- Red Hat OpenShift: このリリースは OpenShift Container Platform 4.14 でサポートされます。
詳細は、Red Hat Advanced Cluster Security for Kubernetes Support Policy を参照してください。
1.2.2. 脆弱性レポート 2.0 の一般提供
このリリースでは、Vulnerability Management (2.0) メニューの Vulnerability Reporting オプションの一般提供が開始されました。レポートの送信時に使用されるメールテンプレートをカスタマイズする機能など、脆弱性レポートにいくつかの機能強化が加えられました。詳細は、Vulnerability Reporting を参照してください。
Vulnerability Management 1.0 → Reporting ページで作成されたレポートは自動的に移行されます。詳細は、RHACS バージョン 4.3 以降にアップグレードする際の脆弱性レポートの移行 を参照してください。
1.2.3. Vulnerability Management 2.0 でのイメージの監視およびスキャン
イメージを watched としてマークする機能は 、Vulnerability Management (1.0) メニュー項目から Vulnerability Management 2.0 に移行されました。アクティブなデプロイメントで使用されていない場合でも、監視対象のイメージの脆弱性がスキャンされます。
詳細は、非アクティブなイメージのスキャン を参照してください。
1.2.4. 管理イベント情報の表示
このリリースでは、RHACS に管理イベントダッシュボードが導入され、RHACS インスタンス内のイベントを効率的に管理およびトラブルシューティングできるようになり、RHACS インスタンスの信頼性とセキュリティーが大幅に向上します。
詳細は 管理イベントの使用 ページを参照してください。
1.2.5. roxctl CLI を使用したイメージのスキャン
roxctl CLI を使用して、OpenShift Container Platform 統合イメージレジストリーなどのクラスターのローカルレジストリーなど、イメージレジストリーに保存されているイメージをスキャンできるようになりました。
詳細は、roxctl CLI を使用したイメージのスキャン を参照してください。
1.2.6. RHACS インスタンスへのユーザーの招待
ユーザーを招待し、そのロールを定義して、アクセス制御の精度を保ち、RHACS インスタンスのセキュリティーを向上させることができるようになりました。
詳細は、RHACS インスタンスへのユーザーの招待 を参照してください。
1.3. 主な技術上の変更点
- 監査ログが有効になっている場合、監査ログメッセージに監査ログリクエストの送信元 IP アドレスが含まれるようになりました。詳細は、監査ロギングの有効化 を参照してください。
-
デフォルトのポリシー「Iptables Executed in Privileged Container」の名前が「Iptables or nftables Executed in Privileged Container」に変更され、
nftablesによって使用されるnftプロセスも検出されるようになりました。 -
リスクの再処理の可能性の頻度が、15 秒ごとにから 10 分ごとに変更されました。これにより、高価なリスク計算がデバウンスされるため、システムのパフォーマンスが向上します。リスクの再処理に以前の値を使用するには、環境変数 ROX_RISK_REPROCESSING_INTERVAL を
15sに設定します。
1.4. RHACS 脆弱性管理に対する今後の変更の通知
過去のいくつかの RHACS リリースでは、Vulnerability Management (1.0) メニュー項目で利用可能な RHACS の機能を最適化および拡張し、Vulnerability Management (2.0) メニュー項目に移行しました。
Vulnerability Management (1.0) メニュー項目の Risk Acceptance の既存のページは、次のリリースでは Vulnerability Management (2.0) メニュー項目に移行されます。これは、Vulnerability Exception Management という名前に変更されます。
Vulnerability Management (2.0) メニュー項目の既存の機能を確認し、RHACS Web ポータルの赤い Feedback ボタンをクリックしてフィードバックをお寄せください。
1.5. 非推奨および削除された機能
以前のリリースで利用可能であった一部の機能が非推奨になるか、削除されました。
非推奨の機能は引き続き RHACS に含まれ、サポートされますが、本製品の今後のリリースで削除されるため、新規デプロイメントでの使用は推奨されません。非推奨および削除済みの主な機能の最新リストについては、次の表を参照してください。削除された、または非推奨になった一部の機能に関する追加情報は、表の後にあります。
以下の表では、各機能に次のステータスが表示されます。
- GA: 一般公開された機能
- TP: テクノロジープレビュー機能
- DEP: 非推奨機能
- REM: 削除された機能
- NA: 該当なし
| 機能 | RHACS 4.1 | RHACS 4.2 | RHACS 4.3 |
|---|---|---|---|
| CIS Docker v1.2.0 コンプライアンス標準 | NA | DEP | DEP |
|
Custom Security Context Constraints (SCC): | DEP | DEP | REM |
|
脆弱性レポートのためのアプリケーションレベルの依存関係のイメージの検査: | DEP | DEP | REM |
|
| DEP | DEP | REM |
|
| NA | DEP | DEP |
|
| NA | DEP | DEP |
|
| NA | NA | DEP |
|
| NA | NA | DEP |
|
| NA | NA | DEP |
|
| NA | NA | DEP |
|
| NA | NA | DEP |
|
| DEP | DEP | REM |
|
| DEP | DEP | REM |
| Vulnerability Management (1.0) メニュー項目 | GA | GA | DEP |
| Vulnerability Management (1.0): イメージ CVE、イメージコンポーネント、イメージ、デプロイメント、および namespace。 | DEP | DEP | REM |
| Vulnerability Management (1.0) → Vulnerability Reporting ページ | DEP | DEP | REM |
|
| DEP | DEP | REM |
|
| GA | DEP | DEP |
|
| DEP | DEP | REM |
1.5.1. 非推奨の機能
次のセクションでは、前の表にリストされている非推奨の機能に関する追加情報について説明しています。
- RHACS Web ポータルの Vulnerability Management (1.0) メニュー項目は非推奨となり、今後削除される予定です。これは Vulnerability Management (2.0) に置き換えられます。
-
/v1/cve/requestsAPI は非推奨となり、今後/v2/vulnerability-Exceptions/API に置き換えられる予定です。ホスト (/node) およびプラットフォーム (/cluster) の脆弱性に対する脆弱性延期管理は非推奨となり、今後削除される予定です。延期管理が削除されると、ホストとプラットフォームの脆弱性に対して延期を作成できなくなり、ホストとプラットフォームの脆弱性に適用されていた既存の例外は元に戻されます。影響を受ける API は、/v1/nodecves/suppress、/v1/nodecves/unsuppress、/v1/clustercves/suppress、および/v1/clustercves/unsuppressです。
1.5.2. 削除された機能
- Vulnerability Management (1.0) メニュー項目の Vulnerability Reporting ページは削除されました。脆弱性レポートは、Vulnerability Management (2.0) メニュー項目で利用できます。
-
/v1/reportAPI が削除されました。/v2/reports/API を使用してください。
1.6. バグ修正
1.6.1. バージョン 4.3.0 で解決
リリース日: 2023 年 11 月 15 日
- セキュアなクラスターへの接続が失われた場合に、診断バンドルの生成で不完全な .zip ファイルが返される問題を修正しました。
- Sensor アップグレードツールが OpenShift Container Platform クラスター上の以前のバージョンからアップグレードできない問題を修正しました。
-
場合によっては、延期および承認された Common Vulnerabilities and Exposures (CVE) が、延期された CVE のリストに追加されないことがありました。この動作は、
/v1/suppressおよび/v1/unsuppressAPI の問題によって引き起こされ、修正されました。 -
追加の認証局 (CA) を設定するために使用される
ca-setup.shファイル内のファイル検索を修正しました。以前は、拡張子が正しい .crt および .pem であっても、スクリプトはディレクトリー内でファイルを見つけることができませんでした。
1.6.2. バージョン 4.3.1 で解決
リリース日: 2023 年 12 月 11 日
-
ユーザーにマップされたロールに、少なくとも
アクセス権限のreadアクセス権がない場合に、ユーザーがログインできない問題を修正しました。 - 以前のバージョンで作成され、特定のレポートの範囲にリンクされたユーザー定義の脆弱性レポートをバージョン 4.3 で編集する際の問題を修正しました。バージョン 4.3 でレポートを編集すると、レポート範囲の参照が欠けており、システムからエラーメッセージが返されました。
- 誤検知を含む報告された脆弱性に対処するために、golang の依存関係を更新および削除しました。
1.6.3. バージョン 4.3.2 で解決
リリース日: 2024 年 1 月 8 日
- Central がクラッシュする原因となった手動の委任スキャンの問題を修正しました。
-
scanner-dbコンテナーの PostgreSQL の脆弱性を修正しました。
1.6.4. バージョン 4.3.3 で解決
リリース日: 2024 年 1 月 16 日
- このリリースには、RHACS で使用される golang および go-git のバージョンの更新が含まれています。
1.6.5. バージョン 4.3.4 で解決
リリース日: 2024 年 1 月 22 日
このリリースには、次のバグ修正と機能強化が含まれています。
Jira および Jira Cloud との統合に関する次の修正と機能強化が実装されました。
- RHACS によって作成された Jira 課題に優先度が正しく設定されるようになりました。
- RHACS と Jira Cloud の統合は正常に作成できます。
- RHACS ポータルの統合作成ページのデフォルトの優先度マッピングが、デフォルトの Jira 優先度に一致するように更新されました。
- 統合の保存後に問題の作成が失敗するリスクを最小限に抑えるために、統合の作成にチェックが追加されました。
- 優先度の設定を無効にするオプションを提供するチェックボックスが追加されました。
TLS 証明書ローテーションの修正が含まれています。以前のリリースでは、Operator は、有効期限が切れた後にのみ、Central コンポーネントの TLS 証明書をローテーションしようとしました。さらに、バグが原因で、central-tls シークレット内の期限切れの証明書を更新できませんでした。今回の修正により、Operator はすべての中央コンポーネントのサービス TLS 証明書を有効期限が切れる 6 カ月前にローテーションします。以下の条件が適用されます。
-
シークレット内の証明書のローテーションによって、コンポーネントが証明書を自動的に再ロードすることはありません。ただし、リロードは通常、RHACS アップグレードの一部として、またはノードの再起動の結果として Pod が交換されるときに発生します。どちらのイベントも少なくとも 6 カ月ごとに発生しない場合は、古い (メモリー内) サービス証明書の有効期限が切れる前に Pod を再起動する必要があります。たとえば、
central、central-db、scanner、またはscanner-dbのいずれかの値を含むappラベルを持つ Pod を削除できます。 - CA 証明書は更新されません。有効期限は 5 年間です。
- セキュアクラスターのコンポーネントによって使用される init バンドル内のサービス証明書は更新されません。初期バンドルは定期的にローテーションする必要があります。
1.6.6. バージョン 4.3.5 で解決
リリース日: 2024 年 3 月 13 日
このリリースでは、次のバグ修正が提供されます。
- 以前のバージョンからバージョン 4.3 にアップグレードすると、Central コンポーネントがクラッシュループに陥る問題を修正しました。
次のセキュリティー修正が提供されます。
- pgx: プロトコルメッセージサイズオーバーフローによる SQL インジェクション (CVE-2024-27304)
- pgx: 行コメント作成による SQL インジェクション (CVE-2024-27289)
1.6.7. バージョン 4.4.3 で解決
リリース日: 2024 年 3 月 28 日
このリリースでは、次のバグ修正が提供されます。
- 誤って設定された Jira ノーティファイアーが原因で RHACS の Central コンポーネントがクラッシュループに入る問題を修正しました。
RHACS の間接的な依存関係が原因でイメージにフラグが付けられる次のセキュリティー修正が提供されます。
- Go-git: 大量に細工された Git サーバーの応答により、go-git クライアント( CVE-2023-49569)のパストラバーサルおよびリモートコード実行(RCE)が発生する可能性があります。
また、以下のセキュリティー修正も提供します。
- Helm: YAML コンテンツが見つからないとパニックが発生する (CVE-2024-26147)
-
Helm:
--dry-runオプションをクリアテキストで表示します (CVE-2019-25210)。
1.6.8. バージョン 4.4.3 で解決
リリース日: 2024 年 5 月 20 日
このリリースでは、次のバグ修正が提供されます。
-
このリリースでは、RHACS を 4.3.6 リリース用に更新した後、Central Pod が
SQLSTATE 23503エラーで失敗するという問題が修正されました。これにより、コレクタープローブが利用できないため、CrashLoopBackoff状態を表示するコレクター Pod が表示されました。 - このリリースでは、Scanner のベースライン脆弱性データを更新し、Scanner のスケジュールされたフィード処理からの以前のデータと互換性がなかった Red Hat セキュリティーデータフィードに加えられた変更に対処します。これにより、脆弱性の影響を受けると誤って示されたパッケージを含むイメージで脆弱性が検出されるさまざまな問題が修正されます。
- このリリースでは、Central が RHACS リリース 4.3.6 以前を実行し、Sensor が RHACS リリース 4.4.0 以降を実行している場合に発生するネットワークグラフのクラッシュとレンダリングエラーが修正されています。
このリリースでは、次の変更が提供されます。
- デフォルトのテレメトリーエンドポイントが Red Hat プロキシーに設定されました。
このリリースでは、脆弱性を修正するために次の項目が更新されます。
- Go がリリース 1.20.12 に更新されました。
-
golang.org/x/netモジュールがリリース v0.22.0 から v0.23.0 に更新されました。
1.6.9. バージョン 4.4.3 で解決
リリース日: 2024 年 6 月 11 日
本リリースには、以下の更新を含む、パッチの脆弱性の更新が含まれています。
-
webpack-dev-middlewareがバージョン 5.3.3 から 5.3.3.4 に更新されました。
次の Scanner パッケージが更新されました。
-
github.com/containers/image/v5が v5.29.2 から v5.29.3 へ -
github.com/docker/dockerが v24.0.7 から v24.0.9 へ
1.7. 既知の問題
-
RHACS バージョン 4.2 では、ソケットの接続状態を考慮して、Collector が接続を報告するかどうかを決定する追加ロジックが導入されました。想定の動作では、接続が正常に確立されるまで接続が報告されません。
ppc64leアーキテクチャーの既知の問題により、通知なしとなるかわりに、接続のブロックまたは失敗が報告される場合があります。この問題に対する回避策はありません。 - RHACS Central コンポーネントは、デフォルトの ROSA クラスターに正しくデプロイされません。回避策として、ワーカーノードをスケーリングして、RHACS コンポーネントをスケジュールできるようにしてください。詳細は、RHACS Central pods do not schedule on a default ROSA cluster を参照してください。
1.8. イメージのバージョン
| イメージ | 説明 | 現行バージョン |
|---|---|---|
| Main |
Central、Sensor、Admission コントローラー、および Compliance が含まれます。継続的インテグレーション (CI) システムで使用する |
|
| Scanner | イメージおよびノードをスキャンします。 |
|
| Scanner DB | イメージのスキャン結果および脆弱性の定義を格納します。 |
|
| Collector | Kubernetes または OpenShift Container Platform クラスターでランタイムアクティビティーを収集します。 |
|
| Central DB | Central にデータベースストレージを提供する PostgreSQL インスタンス。 |
|
