第6章 セキュリティーポリシーの管理
6.1. セキュリティーポリシーについて
Red Hat Advanced Cluster Security for Kubernetes は、環境内でリスクの高いサービスがデプロイメントされないように、ランタイムセキュリティーインシデントに対応するためにカスタマイズなしで使用できる default のセキュリティーポリシーを提供します。コンテナー環境用に custom のマルチファクターポリシーを作成することもできます。
6.1.1. ポリシーカテゴリー
RHACS はポリシーカテゴリーを使用して、タイプおよび機能別にポリシーをグループ化します。これらのカテゴリーを使用して、ポリシーを整理および検索できます。
RHACS は、次のデフォルトポリシーカテゴリーを提供します。
- Anomalous Activity
- Cryptocurrency Mining
- DevOps Best Practices
- Docker Center for Internet Security (CIS)
- Kubernetes
- Kubernetes Events
- Network Tools
- Package Management
- Privileges
- Security Best Practices
- Supply Chain Security
- System Modification
- Vulnerability Management
- Zero Trust
Policy Management ウィンドウの Policy Categories タブを使用して、既存のカテゴリーを表示し、RHACS ポータルで独自のポリシーカテゴリーを作成できます。
6.1.1.1. Policy categories タブを使用したポリシーカテゴリーの作成
バージョン 3.74 以降の RHACS では、PostgreSQL データベースが有効になっている場合に、Red Hat Advanced Cluster Security Cloud Service または RHACS でポリシーカテゴリーを新しい方法で作成および管理できます。この機能を使用する場合、ポリシー作成以外のすべてのポリシーワークフローは変更されません。
PolicyCategoryService API オブジェクトを使用して、ポリシーカテゴリーを設定することもできます。詳細は、RHACS ポータルの Help
手順
-
RHACS ポータルで、Platform Configuration
Policy Management に移動します。 - Policy categories タブをクリックします。このタブには、既存のカテゴリーのリストが表示され、カテゴリー名でリストをフィルタリングできます。Show all categories をクリックし、チェックボックスを選択して、表示されたリストからデフォルトまたはカスタムカテゴリーを削除することもできます。
- Create category をクリックします。
- カテゴリー名を入力し、Create をクリックします。
6.1.1.2. Policy categories タブを使用したポリシーカテゴリーの変更
バージョン 3.74 以降の RHACS では、PostgreSQL データベースが有効になっている場合に、Red Hat Advanced Cluster Security Cloud Service または RHACS でポリシーカテゴリーを新しい方法で作成および管理できます。この機能を使用する場合、ポリシー作成以外のすべてのポリシーワークフローは変更されません。
PolicyCategoryService API オブジェクトを使用して、ポリシーカテゴリーを設定することもできます。詳細は、RHACS ポータルの Help
手順
-
RHACS ポータルで、Platform Configuration
Policy Management に移動します。 - Policy categories タブをクリックします。このタブには、既存のカテゴリーのリストが表示され、カテゴリー名でリストをフィルタリングできます。Show all categories をクリックし、チェックボックスを選択して、表示されたリストからデフォルトまたはカスタムカテゴリーを削除することもできます。
- ポリシー名をクリックして、編集または削除します。デフォルトのポリシーカテゴリーは、選択、編集、または削除できません。
6.1.2. ポリシーおよびライフサイクルフェーズについて
ポリシーを設定するときに、ポリシーに適用するライフサイクルステージを選択でき、ポリシーに対して複数のステージを選択することもできます。
次のライフサイクルステージから選択できます。
- ビルドフェーズポリシー: これらのポリシーは、CVE や Dockerfile の手順などのイメージフィールドに適用されます。
- デプロイフェーズポリシー: これらのポリシーには、すべてのビルド時のポリシー基準を含めることができます。また、特権モードでの実行や Docker デーモンソケットのマウントなど、クラスター設定からのデータを取得することもできます。
ランタイムポリシー: これらのポリシーには、すべてのビルド時とデプロイ時のポリシー基準、およびランタイム中のプロセス実行に関するデータが含まれます。さらに、次のイベントに基づいてポリシー違反をトリガーするようにランタイムポリシーを設定できます。
- Deployments: イベントソースに Pod でのコマンドの実行や Pod ポート転送などのプロセスおよびネットワークアクティビティーが含まれる場合、RHACS はポリシー違反をトリガーします。
- Audit logs: イベントソースが Kubernetes 監査ログレコードと一致すると、RHACS はポリシー違反をトリガーします。
6.1.3. ルールとポリシー基準について
RHACS でルールをセットアップし、ポリシーをトリガーするデータを設定できます。このデータは、ポリシー基準 または ポリシーフィールド とも呼ばれます。
以下の表に記載されている属性に基づいてポリシーを設定できます。
この表では、以下のようになります。
正規表現、AND、OR、および NOT 列は、特定の属性とともに正規表現およびその他の論理演算子を使用できるかどうかを示します。
-
Regex の
!(正規表現) は、リストされたフィールドに正規表現のみを使用できることを示します。 -
AND の
!、または OR は、属性に前述の論理演算子のみを使用できることを示します。 - 正規表現 の ✕ / NOT / AND、OR 列は、属性がこれらのいずれもサポートしていないことを示します (正規表現、否定、論理演算子)。
-
Regex の
- RHACS バージョン 列は、属性を使用する必要がある Red Hat Advanced Cluster Security for Kubernetes のバージョンを示します。
論理組み合わせ演算子の
ANDおよびORは、以下の属性には使用できません。-
ブール値:
trueおよびfalse 最小値セマンティクス。たとえば、以下のようになります。
- 最小 RBAC パーミッション
- イメージ作成からの日数
-
ブール値:
NOT論理演算子は、以下の属性に使用できません。-
ブール値:
trueおよびfalse -
<、>、<=、>=演算子など、比較をすでに使用している数値。 複数の値を指定できる複合条件。たとえば、以下のようになります。
- Dockerfile 行。命令と引数の両方が含まれます。
- 環境変数。名前と値の両方で構成されます。
- Add Capabilities、Drop Capabilities、Days since image was created、Days since image was last scanned などの他の意味。
-
ブール値:
| 属性 | 説明 | JSON 属性 | 許可される値 | Regex、NOT、AND、OR | フェーズ |
|---|---|---|---|---|---|
| セクション: イメージレジストリー | |||||
| Image Registry | イメージレジストリーの名前。 | イメージレジストリー | String |
正規表現、 |
Build、 |
| Image Name |
| イメージリモート | String |
正規表現、 |
Build、 |
| Image Tag | イメージの識別子。 | イメージタグ | String |
正規表現、 |
Build、 |
| Image Signature | イメージの署名を検証するために使用できる署名統合のリスト。署名がないか、提供された署名統合の少なくとも 1 つによって署名が検証できないイメージに関するアラートを作成します。 | Image Signature Verified By | すでに設定されているイメージ署名統合の有効な ID |
! |
Build、 |
| セクション: イメージの内容 | |||||
| The Common Vulnerabilities and Exposures (CVE) is fixable | この基準は、評価しているデプロイメント内のイメージに修正可能な CVE がある場合にのみ違反となります。 | Fixable | ブール値 | ✕ |
Build、 |
| Days Since CVE Was First Discovered In Image | この基準は、RHACS が特定のイメージ内で CVE を検出してから、指定された日数を超えた場合にのみ違反となります。 | Days Since CVE Was First Discovered In Image | 整数 | ✕ |
Build、 |
| Days Since CVE Was First Discovered In System | この基準は、RHACS が監視するすべてのクラスター内にデプロイされた全イメージから CVE を検出してから、指定された日数を超えた場合にのみ違反となります。 | Days Since CVE Was First Discovered In System | 整数 | ✕ |
Build、 |
| Image age | イメージの作成日からの最小日数。 | イメージの経過時間 | 整数 | ✕ |
Build、 |
| Image scan age | イメージが最後にスキャンされた後の最小日数。 | イメージのスキャン期間 | 整数 | ✕ |
Build、 |
| Image User | Dockerfile の USER ディレクティブと一致します。詳細は、https://docs.docker.com/engine/reference/builder/#user を参照してください。 | Image User | String |
正規表現、 |
Build、 |
| Dockerfile Line | 命令と引数の両方を含む、Dockerfile の特定の行。 | Dockerfile Line | LABEL、RUN、CMD、EXPOSE、ENV、ADD、COPY、ENTRYPOINT、VOLUME、USER、WORKDIR、ONBUILD のいずれか |
! 値 (AND、OR) の正規表現のみ |
Build、 |
| Image scan status | イメージがスキャンされたかどうかを確認します。 | スキャンされていないイメージ | ブール値 | ✕ |
Build、 |
| Common Vulnerability Scoring System (CVSS) |
CVSS: 指定の CVSS よりスコアが大きい ( | CVSS |
<、>、<=、>=、または何もなし (等しいことを意味します)
例: | AND, OR |
Build、 |
| Severity | CVSS またはベンダーに基づく脆弱性の重大度。Low、Moderate、Important、Critical のいずれかです。 | Severity |
<、>、⇐、>=、または何もなし (等しいことを意味します)
例: | AND, OR |
Build、 |
| Fixed By | イメージのフラグ付きの脆弱性を修正するパッケージのバージョン文字列。この基準は、CVE 基準などを使用して脆弱性を特定する他の基準に加えて使用される場合があります。 | Fixed By | String |
正規表現、 |
Build、 |
| CVE | Common Vulnerabilities and Exposures。特定の CVE 番号で使用。 | CVE | String |
正規表現、 |
Build、 |
| Image Component | イメージに存在する特定のソフトウェアコンポーネントの名前とバージョン番号。 | Image Component |
key=value
value はオプションです。 値が見つからない場合は、"key=" の形式にする必要があります。 |
正規表現、 |
Build、 |
| Image OS |
イメージのベースオペレーティングシステムの名前およびバージョン番号。たとえば、 | Image OS | String |
正規表現、 |
Build、 |
| Require image label |
Docker イメージラベルが存在することを確認します。このポリシーは、デプロイメントのイメージに指定されたラベルがない場合にトリガーされます。キーおよび値フィールドの両方に正規表現を使用して、ラベルを照合できます。 | Required Image Label |
key=value
value はオプションです。 値が見つからない場合は、"key=" の形式にする必要があります。 |
正規表現、 |
Build、 |
| Disallow image label | 特定の Docker イメージラベルが使用されていないことを確認します。このポリシーは、デプロイメントのイメージに指定されたラベルがある場合にトリガーされます。キーおよび値フィールドの両方に正規表現を使用して、ラベルを照合できます。'Disallow Image Label policy' 条件は、Docker レジストリーと統合する場合にのみ適用されます。Docker ラベルの詳細は、Docker のドキュメント (https://docs.docker.com/config/labels-custom-metadata/) を参照してください。 | Disallowed Image Label |
key=value
value はオプションです。 値が見つからない場合は、"key=" の形式にする必要があります。 |
正規表現、 |
Build、 |
| セクション: コンテナー設定 | |||||
| Environment Variable |
名前または値で環境変数を確認します。環境変数属性を含むポリシーを作成するときに、ポリシーを照合する環境変数のタイプを選択できます。たとえば、デプロイメント YAML で raw 値を直接指定したり、config map、シークレット、フィールド、リソース要求や制限から値への参照を指定したりできます。デプロイメント YAML で直接指定された raw 値以外のタイプの場合、ポリシールールの対応する | Environment Variable |
RAW=key=value により、デプロイメント YAML で直接指定された環境変数を、特定のキーおよび値と照合します。キーのみを照合する場合は、
環境変数が設定 YAML で定義されていない場合は、
上記のリストでは、API オブジェクトのラベルを指定してから、括弧内でユーザーインターフェイスのラベルを指定しています。 |
! キーと値の正規表現 (RAW を使用している場合) |
デプロイ、 |
| Container CPU Request | 特定のリソース用に予約されているコア数を確認します。 | Container CPU Request |
<、>、⇐、>=、または何もなし (等しいことを意味します)
例: | AND, OR |
デプロイ、 |
| Container CPU Limit | リソースが使用できるコアの最大数を確認します。 | Container CPU Limit | (コンテナーの CPU 要求と同じ) | AND, OR |
デプロイ、 |
| Container Memory Request | 要求される MB 数 (小数値を含む)。 | Container Memory Request | (コンテナーの CPU 要求と同じ) | AND, OR |
デプロイ、 |
| Container Memory Limit | リソースが使用できるメモリーの最大量を確認します。 | Container Memory Limit | (コンテナーの CPU 要求と同じ) | AND, OR |
デプロイ、 |
| Privileged container |
デプロイメントが特権モードで設定されているかどうかを確認します。この条件は、各 Pod セキュリティーコンテキスト 内の | Privileged Container |
ブール値: 各 | ✕ |
デプロイ、 |
| Root filesystem writeability |
デプロイメントが | Read-Only Root Filesystem |
ブール値: 各 | ✕ |
デプロイ、 |
| Seccomp Profile Type |
デプロイメントに定義された | Seccomp Profile Type |
以下のいずれかになります。
UNCONFINED | ✕ |
デプロイ、 |
| Privilege escalation | デプロイメントでコンテナープロセスが親プロセスよりも多くの権限を取得できる場合にアラートを出します。 | Allow Privilege Escalation | ブール値 | ✕ |
デプロイ、 |
| Drop Capabilities |
コンテナーからドロップする必要がある Linux 機能。指定された機能がドロップされない場合にアラートを発行します。たとえば、 |
Drop Capabilities |
以下のいずれかになります。
ALL | AND |
デプロイ、 |
| Add Capabilities |
Raw パケットを送信したり、ファイルパーミッションをオーバーライドする機能など、コンテナーには追加できない Linux 機能。指定された機能が追加されたときにアラートを出します。たとえば、 | Add Capabilities |
AUDIT_CONTROL | OR |
デプロイ、 |
| Container Name | コンテナーの名前。 | Container Name | String |
正規表現、 |
デプロイ、 |
| AppArmor プロファイル | コンテナーで使用されるアプリケーション Armor ("AppArmor") プロファイル。 | AppArmor プロファイル | String |
正規表現、 |
デプロイ、 |
| Liveness Probe | コンテナーが liveness プローブを定義するかどうか。 | Liveness Probe | ブール値 | ✕ |
デプロイ、 |
| Readiness Probe | コンテナーが readiness プローブを定義するかどうか。 | Readiness Probe | ブール値 | ✕ |
デプロイ、 |
| セクション: デプロイメントメタデータ | |||||
| Disallowed Annotation | 指定された環境の Kubernetes リソースには存在できないアノテーション。 | Disallowed Annotation |
key=value
value はオプションです。 値が見つからない場合は、"key=" の形式にする必要があります。 |
正規表現、 |
デプロイ、 |
| Required Label | Kubernetes で必要なラベルが存在するかどうかを確認します。 | Required Label |
key=value
value はオプションです。 値が見つからない場合は、"key=" の形式にする必要があります。 |
正規表現、 |
デプロイ、 |
| Required Annotation | Kubernetes に必要なアノテーションの有無を確認します。 | Required Annotation |
key=value
value はオプションです。 値が見つからない場合は、"key=" の形式にする必要があります。 |
正規表現、 |
デプロイ、 |
| Runtime Class |
デプロイメントの | Runtime Class | String |
正規表現、 |
デプロイ、 |
| ホストネットワーク |
| ホストネットワーク | ブール値 | ✕ |
デプロイ、 |
| Host PID | Process ID (PID) namespace がコンテナーとホスト間で分離されているかどうかを確認します。これにより、異なる PID namespace 内のプロセスが同じ PID を持つことができます。 | Host PID | ブール値 | ✕ |
デプロイ、 |
| Host IPC | ホスト上の IPC (POSIX/SysV IPC) namespace (名前付き共有メモリーセグメント、セマフォ、メッセージキューを分離する namespace) が、コンテナーと共有されているかどうかを確認します。 | Host IPC | ブール値 | ✕ |
デプロイ、 |
| Namespace | デプロイメントが属する namespace の名前。 | Namespace | String |
正規表現、 |
デプロイ、 |
| レプリカ |
デプロイメントレプリカの数。 | レプリカ |
<、>、⇐、>=、または何もなし (等しいことを意味します)
例: |
NOT、 |
デプロイ、 |
| セクション: ストレージ | |||||
| Volume Name | ストレージの名前。 | Volume Name | String |
正規表現、 |
デプロイ、 |
| Volume Source |
ボリュームがプロビジョニングされるフォームを示します。たとえば、 | Volume Source | String |
正規表現、 |
デプロイ、 |
| Volume Destination | ボリュームがマウントされるパス。 | Volume Destination | String |
正規表現、 |
デプロイ、 |
| Volume Type | ボリュームの種別を設定します。 | Volume Type | String |
正規表現、 |
デプロイ、 |
| マウントされたボリュームの書き込み可能性 | 書き込み可能な状態でマウントされるボリューム。 | 書き込み可能なマウント済みボリューム | ブール値 | ✕ |
デプロイ、 |
| マウントの伝播 |
コンテナーが | マウントの伝播 |
以下のいずれかになります。
NONE |
NOT、 |
デプロイ、 |
| ホストマウントの書き込み可能性 | リソースが、書き込み権限のあるホストにパスをマウントしている。 | Writable Host Mount | ブール値 | ✕ |
デプロイ、 |
| セクション: ネットワーク | |||||
| プロトコル | 公開されるポートによって使用される TCP や UDP などのプロトコル。 | 公開ポートプロトコル | String |
正規表現、 |
デプロイ、 |
| ポート | デプロイメントによって公開されるポート番号。 | 公開されるポート |
<、>、⇐、>=、または何もなし (等しいことを意味します)
例: |
NOT、 |
デプロイ、 |
| Exposed Node Port | デプロイメントによって外部に公開されるポート番号。 | Exposed Node Port | (公開ポートと同じ) |
NOT、 |
デプロイ、 |
| Port Exposure | ロードバランサーやノードポートなど、サービスの公開方法。 | ポートの公開方法 |
以下のいずれかになります。
UNSET |
NOT、 |
デプロイ、 |
| 検出された予期しないネットワークフロー | 検出されたネットワークトラフィックがデプロイメントのネットワークベースラインの一部であるかどうかを確認します。 | 検出された予期しないネットワークフロー | ブール値 | ✕ | Runtime ONLY - Network |
| Ingress Network Policy | イングレス Kubernetes ネットワークポリシーの有無を確認します。 | Ingress Network Policy がある | ブール値 |
正規表現、 |
デプロイ、 |
| Egress Network Policy | エグレス Kubernetes ネットワークポリシーの有無を確認します。 | Egress Network Policy がある | ブール値 |
正規表現、 |
デプロイ、 |
| セクション: プロセスアクティビティー | |||||
| プロセス名 | デプロイメントで実行されるプロセスの名前。 | プロセス名 | String |
正規表現、 | ランタイム のみ - プロセス |
| Process Ancestor | デプロイメントで実行されるプロセスの親プロセスの名前。 | Process Ancestor | String |
正規表現、 | ランタイム のみ - プロセス |
| Process Arguments | デプロイメントで実行されるプロセスのコマンド引数。 | Process Arguments | String |
正規表現、 | ランタイム のみ - プロセス |
| Process UID | デプロイメントで実行されるプロセスの UNIX ユーザー ID。 | Process UID | 整数 |
NOT、 | ランタイム のみ - プロセス |
| Unexpected Process Executed | デプロイメントにあるロックされたプロセスベースラインで、プロセス実行がリスト表示されていないデプロイメントを確認します。 | Unexpected Process Executed | ブール値 | ✕ | ランタイム のみ - プロセス |
| セクション: Kubernetes アクセス | |||||
| Service Account | サービスアカウントの名前 | Service Account | String |
正規表現、 |
デプロイ、 |
| Automount Service Account Token | デプロイメント設定がサービスアカウントトークンを自動的にマウントするかどうかを確認します。 | Automount Service Account Token | ブール値 | ✕ |
デプロイ、 |
| Minimum RBAC Permissions |
デプロイメントの Kubernetes サービスアカウントに、指定のレベル以上 ( | Minimum RBAC Permissions |
以下のいずれかになります。
DEFAULT | NOT |
デプロイ、 |
| セクション: Kubernetes イベント | |||||
| Kubernetes Action |
| Kubernetes Resource |
以下のいずれかになります。
PODS_EXEC |
! | Runtime ONLY - Kubernetes Events |
| Kubernetes User Name | リソースにアクセスしたユーザーの名前。 | Kubernetes User Name | ハイフン (-) とコロン (:) のみを含む英数字 |
正規表現、 | Runtime ONLY - Kubernetes Events |
| Kubernetes User Group | リソースにアクセスしたユーザーが属するグループの名前。 | Kubernetes User Groups | ハイフン (-) とコロン (:) のみを含む英数字 |
正規表現、 | Runtime ONLY - Kubernetes Events |
| Kubernetes Resource Type | アクセスされた Kubernetes リソースのタイプ。 | Kubernetes Resource |
以下のいずれかになります。
config map |
! | Runtime ONLY - Audit Log |
| Kubernetes API Verb |
| Kubernetes API Verb |
以下のいずれかになります。
CREATE |
! | Runtime ONLY - Audit Log |
| Kubernetes Resource Name | アクセスされた Kubernetes リソースの名前。 | Kubernetes Resource Name | ハイフン (-) とコロン (:) のみを含む英数字 |
正規表現、 | Runtime ONLY - Audit Log |
| User Agent |
ユーザーがリソースへのアクセスに使用したユーザーエージェント。例: | User Agent | String |
正規表現、 | Runtime ONLY - Audit Log |
| Source IP Address | ユーザーがリソースにアクセスした IP アドレス。 | Source IP Address | IPV4 または IPV6 アドレス |
正規表現、 | Runtime ONLY - Audit Log |
| Is Impersonated User | サービスアカウントまたは他のアカウントで権限を偽装ユーザーによって要求が行われたかどうかを確認します。 | Is Impersonated User | ブール値 | ✕ | Runtime ONLY - Audit Log |
6.1.4. ポリシーの適用について
RHACS でポリシーを設定する場合、セキュリティーポリシーに違反する状態を検出したときに RHACS がどのように応答するかを選択できます。
RHACS は、違反の検出フェーズに応じて、さまざまな種類のポリシー適用、つまり違反に対処するアクションを実行できます。ポリシーの適用を設定する場合、ポリシーの適用内容を設定するときに複数のステージを選択できます。たとえば、Build と Deploy を選択すると、RHACS はビルドパイプラインに問題を警告します。ただし、開発者がビルドの続行を許可した場合に、デプロイメントが阻止されます。
build time enforcement では、イメージがポリシーの条件に一致する場合に、継続的インテグレーション (CI) ビルドが失敗するように RHACS を設定できます。つまり、重大度レベルの修正可能な CVE があり、その条件に対してポリシーを設定している場合など、ビルドにポリシーに違反する条件がある場合、ビルドは失敗するはずです。たとえば、RHACS がイメージまたはデプロイメントをチェックするように設定し、そのチェックを CI/CD パイプラインに統合した場合に、RHACS がポリシーが失敗する条件を検出すると、RHACS API はゼロ以外の終了コードを返します。パイプラインはそのコードを使用してビルドを失敗させます。
deploy time enforcement では、RHACS は Kubernetes アドミッションコントローラーおよび OpenShift Container Platform アドミッションプラグインと連携して、セキュリティーポリシーの強制適用を可能にします。RHACS は、Kubernetes または OpenShift Container Platform が、ポリシーの基準に一致するデプロイメント、デーモンセット、ジョブなどのワークロードが作成または更新されないようにします。これは、ビルドが成功した場合でも、重大な問題のあるデプロイメントをシャットダウンする場合に役立ちます。
6.1.4.1. デプロイステージのセキュリティーポリシーの実施
Red Hat Advanced Cluster Security for Kubernetes は、デプロイ時のポリシーに対して、アドミッションコントローラーによるハードな適用と RHACS Sensor によるソフトな適用という 2 つの形式のセキュリティーポリシー適用をサポートしています。アドミッションコントローラーは、ポリシーに違反するデプロイメントの作成または更新をブロックします。アドミッションコントローラーが無効または使用できない場合、Sensor はポリシーに違反するデプロイメントのレプリカを 0 にスケールダウンして強制を実行できます。
ポリシーの適用は、実行中のアプリケーションまたは開発プロセスに影響を与える可能性があります。適用オプションを有効にする前に、すべての利害関係者に通知し、自動適用アクションに対応する方法を計画してください。
6.1.4.1.1. ハードエンフォースメント
ハードエンフォースメントは、RHACS アドミッションコントローラーによって実行されます。アドミッションコントローラーが適用されているクラスターでは、Kubernetes または OpenShift Container Platform サーバーがすべての非準拠のデプロイメントをブロックします。アドミッションコントローラーは、CREATE および UPDATE 操作をブロックします。デプロイ時の強制が有効に設定されたポリシーを満たす Pod の作成または更新リクエストはすべて失敗します。
Kubernetes アドミッション Webhook は、CREATE、UPDATE、DELETE、または CONNECT 操作のみをサポートします。RHACS アドミッションコントローラーは、CREATE および UPDATE 操作のみをサポートします。kubectl patch、kubectl set、kubectl scale などの操作は、UPDATE 操作ではなく、PATCH 操作です。Kubernetes では PATCH 操作がサポートされていないため、RHACS は PATCH 操作の強制を実行できません。
ブロックを強制するには、RHACS でクラスターに対して次の設定を有効にする必要があります。
- Enforce on Object Creates: Dynamic Configuration セクションのこのトグルは、アドミッションコントロールサービスの動作を制御します。これを機能させるには、Static Configuration セクションの Configure Admission Controller Webhook to listen on Object Creates トグルをオンにする必要があります。
- オブジェクトの更新時に強制: Dynamic Configuration セクションのこのトグルは、アドミッションコントロールサービスの動作を制御します。これを機能させるには、Static Configuration セクションの Configure Admission Controller Webhook to listen on Object Updates トグルをオンにする必要があります。
Static Configuration 設定の項目を変更した場合に、その変更を有効にするにはセキュアクラスターを再デプロイする必要があります。
6.1.4.1.2. ソフトな適用
ソフトな適用は RHACS Sensor によって実行されます。このエンフォースメントにより、操作が開始しなくなります。ソフトな適用では、Sensor はレプリカを 0 にスケーリングし、Pod がスケジュールされるのを防ぎます。このエンフォースメントでは、クラスター内で準備ができていないデプロイメントが使用可能になります。
ソフトな適用が設定されていて、Sensor がダウンしている場合、RHACS は適用を実行できません。
6.1.4.1.3. namespace の除外
デフォルトでは、RHACS は、stackrox、kube-system、istio-system namespace などの特定の管理 namespace をエンフォースメントブロックから除外します。その理由は、RHACS が正しく機能するためには、これらの namespace 内の一部の項目をデプロイする必要があるためです。
6.1.4.1.4. 既存のデプロイメントへのエンフォースメント
既存のデプロイメントの場合、ポリシーの変更は、Kubernetes イベントが発生したときに、基準が次に検出されたときにのみ適用されます。ポリシーに変更を加えた場合は、Policy Management を選択し、Reassess All をクリックしてポリシーを再評価する必要があります。このアクションは、新しい受信 Kubernetes イベントがあるかどうかに関係なく、すべての既存のデプロイメントにデプロイポリシーを適用します。ポリシーに違反があった場合は、RHACS がエンフォースメントを実行します。
