Red Hat Summit7.2. 重大度の高いセキュリティーポリシー
以下の表は、Red Hat Advanced Cluster Security for Kubernetes の重大度の高いデフォルトのセキュリティーポリシーを示しています。ポリシーは、ライフサイクルステージごとに編成されています。
| ライフサイクルステージ | 名前 | 説明 | ステータス |
|---|---|---|---|
| ビルドまたはデプロイ | 修正可能な 7 以上の Common Vulnerability Scoring System (CVSS) | 修正可能な脆弱性を含むデプロイメントの CVSS が 7 以上の場合にアラートを出します。ただし、Red Hat は、CVSS スコアではなく、Common Vulnerabilities and Exposures (CVE) の重大度を使用してポリシーを作成することを推奨します。 | Disabled |
| ビルドまたはデプロイ | 修正可能な重要度が少なくとも重要 | 修正可能な脆弱性のあるデプロイメントの重大度評価が少なくとも重要になった場合にアラートを出します。 | Enabled |
| ビルドまたはデプロイ | Rapid Reset: HTTP/2 プロトコルにおけるサービス拒否の脆弱性 |
HTTP/2 サーバーのサービス拒否 (DoS) 脆弱性の影響を受けやすいコンポーネントを含むイメージのデプロイメントに関するアラート。これは、HTTP/2 での多重化ストリームの処理における不具合に対処します。クライアントはリクエストを迅速に作成し、すぐにリセットできます。これにより、サーバー側の制限に達することを回避しながらサーバーに余分な作業が発生し、サービス拒否攻撃が発生する可能性があります。このポリシーを使用するには、ポリシーを複製し、有効にする前に | Disabled |
| ビルドまたはデプロイ | イメージで公開されているセキュアシェル (ssh) ポート | 一般に SSH アクセス用に予約されているポート 22 がデプロイで公開されたときにアラートを出します。 | Enabled |
| デプロイ | 緊急デプロイメントのアノテーション | デプロイメントで StackRox アドミッションコントローラーのチェックを回避するために "admission.stackrox.io/break-glass":"ticket-1234" などの緊急アノテーションが使用される場合にアラートを出します。 | Enabled |
| デプロイ | 環境変数に Secret が含まれています | デプロイメントに 'SECRET' を含む環境変数がある場合にアラートを出します。 | Enabled |
| デプロイ | 修正可能な CVSS >= 6 および特権 | デプロイが特権モードで実行され、CVSS が 6 以上の修正可能な脆弱性がある場合にアラートを出します。ただし、Red Hat は、CVSS スコアではなく CVE の重大度を使用してポリシーを作成することを推奨します。 | バージョン 3.72.0 以降ではデフォルトで Disabled |
| デプロイ | 重要かつ重大な修正可能な CVE を含む特権コンテナー | 特権モードで実行されるコンテナーに重要または重大な修正可能な脆弱性がある場合にアラートを出します。 | Enabled |
| デプロイ | 環境変数としてマウントされた Secret | 環境変数としてマウントされた Kubernetes シークレットがデプロイメントに含まれている場合にアラートを出します。 | Disabled |
| デプロイ | セキュアシェル (ssh) ポートの公開 | 一般に SSH アクセス用に予約されているポート 22 がデプロイで公開されたときにアラートを出します。 | Enabled |
| ランタイム | 暗号通貨マイニングプロセスの実行 | 暗号通貨マイニングプロセスを生成します。 | Enabled |
| ランタイム | iptables の実行 | 誰かが iptables を実行したことを検出します。これは、コンテナー内のネットワーク状態を管理する非推奨の方法です。 | Enabled |
| ランタイム | Kubernetes アクション: Exec into Pod | コンテナーでコマンドを実行する要求を Kubernetes API が受信したときにアラートを出します。 | Enabled |
| ランタイム | Linux グループ追加の実行 | 誰かが addgroup または groupadd バイナリーを実行して Linux グループを追加したことを検出します。 | Enabled |
| ランタイム | Linux ユーザー追加の実行 | 誰かが useradd または adduser バイナリーを実行して Linux ユーザーを追加したことを検出します。 | Enabled |
| ランタイム | ログインバイナリー | 誰かがログインを試みたことを示します。 | Disabled |
| ランタイム | ネットワーク管理の実行 | ネットワークの設定と管理を操作できるバイナリーファイルが誰かによって実行されたことを検出します。 | Enabled |
| ランタイム | nmap の実行 | ランタイム中に誰かがコンテナー内で nmap プロセスを開始したときにアラートを出します。 | Enabled |
| ランタイム | OpenShift: Kubeadmin Secret へのアクセス | 誰かが kubeadmin Secret にアクセスしたときにアラートを出します。 | Enabled |
| ランタイム | パスワードバイナリー | 誰かがパスワードを変更しようとしたことを示します。 | Disabled |
| ランタイム | クラスター Kubelet エンドポイントを対象とするプロセス | healthz、kubelet API、または heapster エンドポイントの誤用を検出します。 | Enabled |
| ランタイム | プロセスターゲットクラスター Kubernetes Docker Stats エンドポイント | Kubernetes docker stats エンドポイントの誤用を検出します。 | Enabled |
| ランタイム | プロセスターゲティング Kubernetes サービスエンドポイント | Kubernetes サービス API エンドポイントの誤用を検出します。 | Enabled |
| ランタイム | UID 0 のプロセス | デプロイメントに UID 0 で実行されるプロセスが含まれている場合にアラートを出します。 | Disabled |
| ランタイム | セキュアシェルサーバー (sshd) の実行 | SSH デーモンを実行するコンテナーを検出します。 | Enabled |
| ランタイム | SetUID プロセス | エスカレートされた特権で特定のプログラムを実行できるようにする setuid バイナリーファイルを使用します。 | Disabled |
| ランタイム | シャドウファイルの変更 | 誰かがシャドウファイルを変更しようとしたことを示します。 | Disabled |
| ランタイム | Java アプリケーションによって生成されたシェル | bash、csh、sh、zsh などのシェルが Java アプリケーションのサブプロセスとして実行されるタイミングを検出します。 | Enabled |
| ランタイム | 不正なネットワークフロー | "異常な違反に関するアラート" 設定のベースラインから外れたネットワークフローに対して違反を生成します。 | Enabled |
| ランタイム | 不正なプロセス実行 | Kubernetes デプロイメントのコンテナー仕様のロックされたプロセスベースラインによって明示的に許可されていないプロセス実行に対して違反を生成します。 | Enabled |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}