5.3. セキュリティーポリシーの作成と変更

手順

1. ポリシーの Name を入力します。ポリシーの名前は 5 - 128 文字までで、改行やドル記号を含めることはできません。
2. このポリシーの Severity レベルを選択します。
3. Categories リストからポリシーのポリシーカテゴリーを選択します。
4. Description フィールドに、ポリシーの詳細を入力します。
5. Rationale フィールドにポリシーが存在する理由の説明を入力します。
6. Guidance フィールドでこのポリシーの違反を解決するための手順を入力します。

7. MITRE ATT&CK セクションで、ポリシーに指定する tactics and the techniques を選択します。

   1. Add tactic をクリックし、ドロップダウンリストから調整を選択します。
   2. Add technique をクリックして、選択した戦略の手法を追加します。戦略には、複数の手法を指定できます。
8. Next をクリックします。

手順

1. ポリシーの ライフサイクルステージ を選択します。

   • ビルド: このステージのポリシーでは、イメージレジストリー、コンテンツ、脆弱性データ、およびスキャンプロセスに関連するイメージ基準のみを検査できます。これらは CI パイプラインで評価され、適用が有効な場合、ポリシー違反によってビルドを中断させることができます。このステージからの違反は RHACS によって保存されません。
   • デプロイ: このステージのポリシーは、ワークロード設定とそのイメージを検査できます。これらのポリシーは、ワークロードリソースの作成または更新中に評価され、定期的またはオンデマンドで再評価されます。適用されると、ポリシー違反により、アドミッションコントローラーがデプロイまたは更新の試行を拒否したり、ワークロードのレプリカをゼロにスケールダウンしたりする可能性があります。
   • ビルドとデプロイ: ポリシーによって、ビルドパイプラインとワークロードのアドミッションの両方でイメージを検査し、さらに、そのどちらか一方または両方のステージに適用を適用したい場合は、このステージを選択します。

   • ランタイム: このステージのポリシーは、次の 2 つのイベントソースに関連付けられたワークロードアクティビティーまたは Kubernetes リソース操作のいずれかを検査します。

     • デプロイメント: ワークロードアクティビティーを検査するランタイムポリシーには、少なくとも 1 つのワークロードアクティビティー基準が必要です。ワークロードアクティビティー基準は、イメージまたはワークロード設定基準と組み合わせることができます。適用により問題のある Pod が終了し、その後 Pod が再作成されます。
     • 監査ログ: Kubernetes リソース操作を評価するランタイムポリシーは、Kubernetes 監査ログを使用して機密性の高い操作を探します。操作はすでに実行されているため、このソースを使用するポリシーの適用を設定できません。
2. Next をクリックします。

手順

1. Rules セクションで、ポリシーをトリガーする基準を設定します。ルールのタイトルを編集できます。たとえば、Rule 1 をよりわかりやすいものに変更できます。

2. ルールごとに、ポリシーフィールドをクリックして Policy Section にドラッグし、ポリシーフィールドまたは基準を追加します。

   注記

   利用可能なポリシーフィールドは、ポリシーに選択したライフサイクルステージによって異なります。たとえば、Networking または Workload activity の基準は、ランタイムライフサイクルのポリシーを作成するときに使用できますが、ビルドライフサイクルのポリシーを作成するときには使用できません。ポリシー基準の詳細 (基準や、それらが利用可能なライフサイクルフェーズに関する情報など) は、「ポリシー基準」を参照してください。

3. フィールドごとに、フィールドに固有のオプションから選択できます。これらはフィールドの種類によって異なります。以下に例を示します。

   • 文字列の値の動作はデフォルトで、ポリシーフィールドに対して照合します。フィールドの照合をさせない場合は、Not をクリックします。
   • 一部のフィールドには、true または false のいずれかの値が含まれています。
   • 一部のフィールドでは、ドロップダウンリストから値を選択する必要があります。
   • Read-Only Root Filesystem などのブール値を持つ属性を選択した場合は、READ-ONLY および WRITABLE オプションを使用できます。

   • Environment variable などの複合値を持つ属性を選択した場合は、Key、Value、Value From フィールドに値を入力し、アイコンをクリックして使用可能なオプションにさらに値を追加できます。

     注記

     ポリシー基準に使用できる値の詳細は、「ポリシー基準」を参照してください。

4. 属性に複数の値を組み合わせるには、Add アイコンをクリックします。
5. オプション: ルールを追加するには、Add a new rule をクリックします。
6. Next をクリックします。

手順

1. 次のいずれかのオプションを設定します。

   • スコープによる制限: これにより、このポリシーを特定のクラスター、namespace、またはデプロイメントラベルにのみ適用できるようになります。複数のスコープを追加したり、namespaces とラベルの RE2 Syntax で正規表現を使用したりすることもできます。

   • スコープによる除外: 特定のデプロイメント、クラスター、namespace、およびデプロイメントラベルをポリシーから除外します。ポリシーは、選択したエンティティーには適用されません。複数のスコープを追加したり、namespaces とラベルの RE2 Syntax で正規表現を使用したりすることもできます。ただし、デプロイメントの選択に正規表現を使用することはできません。

     注記

     この機能は、デプロイおよびランタイムライフサイクルステージ用に設定されたポリシーでのみ使用できます。

   • イメージの除外: ビルドライフサイクルステージ用に設定されたポリシーの場合、ポリシーからイメージを除外できます。違反をトリガーしたくないイメージを選択します。

     注記

     除外されたイメージ 設定は、継続的インテグレーションシステムにおいて、ビルド ライフサイクルステージでイメージをチェックする場合にのみ適用されます。このポリシーを使用して、実行中のデプロイメント (Deploy ライフサイクルステージ) またはランタイムアクティビティー (Runtime ライフサイクルステージ) をチェックする場合、効果はありません。

2. Next をクリックします。

手順

1. ポリシーを有効化するには Enable を選択し、無効化するには Disable を選択します。
2. Next をクリックします。

手順

1. 適用方法を選択します。

   • Inform: 違反を違反リストに含めます。
   • 通知と適用: 違反を違反リストに含め、設定したアクションを適用します。このオプションを選択した場合は、適切なライフサイクルの切り替えを使用して、ポリシーの適用動作を選択する必要があります。

2. ポリシーの適用を選択する場合は、適用動作を設定します。選択できる適用動作は、ポリシー定義の Lifecycle セクションでポリシーごとに選択したライフサイクルステージによって異なります。ライフサイクルステージに応じて、以下の適用動作を利用できます。

   • ビルド: イメージがポリシーの基準に一致する場合に RHACS が継続的インテグレーション (CI) ビルドを失敗するようにするには、Enforce on Build を選択します。roxctl CLI をダウンロードし、roxctl image check コマンドがそのポリシーと連携して動作するように設定できます。

   • デプロイ: RHACS アドミッションコントローラーが設定され実行されている場合に、ポリシーの条件に一致するワークロードアドミッションと更新を RHACS がブロックするようにするには、Enforce on Deploy を選択します。

     • アドミッションコントローラーによる適用が有効なクラスターでは、Kubernetes または OpenShift Container Platform API サーバーが、すべての非準拠のデプロイメントをブロックします。他のクラスターでは、RHACS は準拠していないデプロイメントを編集して、Pod がスケジュールされないようにします。
     • 既存のデプロイメントの場合、ポリシーの変更は、Kubernetes イベントが発生したときに、基準が次に検出されたときにのみ適用されます。適用に関する詳細は、「デプロイステージの適用」を参照してください。

   • ランタイム: Pod 内のイベントがポリシーの基準に一致したときに RHACS によってすべての Pod が削除されるようにするには、Enforce on Runtime を選択します。

     警告

     ポリシーの適用は、実行中のアプリケーションまたは開発プロセスに影響を与える可能性があります。適用オプションを有効にする前に、すべての利害関係者に通知し、自動適用アクションに対応する方法を計画してください。

3. Next をクリックします。

手順

1. ポリシー違反が発生したときに RHACS が通知するために使用する通知機能を選択します。
2. Next をクリックします。

手順

1. ポリシー設定が正しいオプションで設定されていることを確認します。

2. Preview violations パネルで結果を表示し、ポリシーが機能していることを確認します。このパネルには、ビルドフェーズまたはデプロイフェーズのデプロイメントにポリシー違反があるかどうかなどの追加情報が提供されます。

   注記

   ランタイム違反は、将来イベントが発生したときに生成されるものであるため、このプレビューでは表示されません。

   ポリシーを保存する前に、違反が正確であるかどうかを確認してください。

3. Save をクリックします。

手順

1. RHACS ポータルで、Platform Configuration Policy Management に移動します。デフォルトポリシーの場合、適用オプションは編集できません。
2. ワークロード操作に対してポリシーを評価したくない場合は、Actions Edit policy を選択します。
3. 左側のナビゲーションメニューで、Actions を選択します。
4. Activation state フィールドで、Disable を選択します。
5. ポリシーを保存します。