3.6. Red Hat Advanced Cluster Security for Kubernetes ソースと認証情報の追加
Red Hat Advanced Cluster Security for Kubernetes (RHACS) デプロイメントでスキャンを実行するには、スキャンする RHACS インスタンスを識別するソースを追加する必要があります。その後、そのインスタンスにアクセスするために認証データが含まれる認証情報を追加する必要があります。
詳細情報
RHACS ソースと認証情報を追加して、RHACS インスタンスをスキャンするために必要な情報を提供します。詳細は、以下の情報を参照してください。
- RHACS ソースを追加するには、RHACS ソースの追加 を参照してください。
- RHACS 認証情報を追加するには、RHACS 認証情報の追加 を参照してください。
ソースと認証情報、および Discovery でのそれらの使用方法の詳細は、次の情報を参照してください。
Red Hat Advanced Cluster Security for Kubernetes インスタンスで Discovery が認証する方法の詳細は、以下の情報を参照してください。この情報には、RHACS 認証情報の設定時に必要になる可能性のある、証明書の検証と SSL 通信の選択に関するガイダンスが含まれています。
3.6.1. Red Hat Advanced Cluster Security for Kubernetes ソースの追加
最初の Welcome ページまたは Sources ビューからソースを追加できます。
前提条件
- Red Hat Advanced Cluster Security for Kubernetes (RHACS) ポータルにアクセスし、管理 API トークンの値を生成できる。
- RHACS ポータルにアクセスして RHACS Central エンドポイントを見つけることができるか、RHACS Configuration Management Cloud Service インスタンスの詳細にアクセスできる。
手順
オプションをクリックして、場所に基づいて新しい認証情報を追加します。
- Welcome ページから Add Source をクリックします。
- Sources ビューから Add をクリックします。
ソースの追加ウィザードが開きます。
- Type ページで、RHACS をソースタイプとして選択し、Next をクリックします。
Credentials ページで、以下の情報を入力します。
- Name フィールドに、説明的な名前を入力します。
IP Address or Hostname フィールドに、このソースの Red Hat Advanced Cluster Security for Kubernetes Central アドレスを入力します。
- RHACS が OpenShift にデプロイされている場合は、クラスターのネットワークルートを表示することでアドレスを見つけることができます。
- RHACS がクラウド上にデプロイされている場合は、インスタンスの詳細でこの情報を見つけることができます。
- Credentials 一覧で、このソースのクラスターへのアクセスに必要な認証情報を選択します。必要な認証情報が存在しない場合は、Add a credential アイコンをクリックして Add Credential ウィザードを開きます。
- Connection リストで、このソースのスキャン中にセキュアな接続に使用される SSL プロトコルを選択します。Disable SSL を選択して、このソースのスキャン時にセキュアな通信を無効にします。
- クラスターの SSL 検証をアップグレードして、認証局から検証された SSL 証明書を確認する必要がある場合は、Verify SSL Certificate チェックボックスを選択します。
- Save をクリックしてソースを保存し、Close をクリックして Add Source ウィザードを閉じます。
3.6.2. RHACS 認証情報の追加
Credentials ビューから認証情報を追加するか、ソースの作成時に Add Source ウィザードから認証情報を追加できます。
前提条件
- Red Hat Advanced Cluster Security for Kubernetes (RHACS) ポータルにアクセスし、管理 API トークンの値を生成できる。
- RHACS ポータルにアクセスして RHACS Central エンドポイントを見つけることができるか、RHACS Configuration Management Cloud Service インスタンスの詳細にアクセスできる。
手順
オプションをクリックして、場所に基づいて新しい認証情報を追加します。
-
Credentials ビューから、
をクリックします。 - Add Source ウィザードで、Credentials フィールドの Add a credential アイコンをクリックします。
Add Credential ウィザードが開きます。
-
Credentials ビューから、
- Credential Name フィールドに、説明的な名前を入力します。
- RHACS ポータルから RHACS の API トークンを入力します。トークンをまだお持ちでない場合は、RHACS Configuration Management Cloud Service ポータルでトークンを生成できます。
- Save をクリックして認証情報を保存し、Add Credential ウィザードを閉じます。
3.6.3. ソースおよび認証情報について
スキャンを実行するには、ソースと認証情報の 2 つの基本的な構造のデータを設定する必要があります。スキャン中に検査するソースのタイプによって、ソースと認証情報の両方の設定に必要なデータのタイプが決まります。
ソース には、スキャン時に検査される単一のアセットまたは複数のアセットが含まれます。次のいずれかのタイプのソースを設定できます。
- ネットワークソース
- 1 つ以上の物理マシン、仮想マシン、またはコンテナー。これらのアセットはホスト名、IP アドレス、IP 範囲、またはサブネットとして表現可能。
- vCenter ソース
- IT インフラストラクチャーのすべてまたは一部を管理する vCenter Server システム管理ソリューション。
- Satellite ソース
- IT インフラストラクチャーのすべてまたは一部を管理する Satellite システム管理ソリューション。
- Red Hat OpenShift ソース
- Red Hat OpenShift Container Platform ノードおよびワークロードのすべてまたは一部を管理する Red Hat OpenShift Container Platform クラスター。
- Ansible ソース
- Ansible ノードとワークロードを管理する Ansible 管理ソリューション。
- Red Hat Advanced Cluster Security for Kubernetes ソース
- Kubernetes 環境をセキュリティー保護する RHACS セキュリティープラットフォームソリューション。
ネットワークソースを使用している場合は、単一のソース内でグループ化する必要がある個々のアセットの数を決定します。現在、ネットワークソースに対してのみ、複数のアセットをソースに追加できます。次のリストには、ソースを追加するときに考慮する必要があるその他の要因がいくつか含まれています。
- アセットが開発、テスト、または本番環境の一部であるかどうか、およびコンピューティング能力の要求と同様の懸念がそれらのアセットの考慮事項であるかどうか。
- インストールされたソフトウェアへの頻繁な変更などの内部ビジネス慣習のために、特定のエンティティーまたはエンティティーのグループをより頻繁にスキャンするかどうか。
認証情報 は、ソースに含まれるアセットのすべてまたは一部でスキャンを実行する権限を持つユーザーのユーザー名やパスワード、SSH キーなどのデータが含まれます。ソースと同様に、認証情報はネットワーク、vCenter、Satellite、OpenShift、Ansible、または RHACS タイプとして設定されます。通常、ネットワークソースには、幅広い IP 範囲内の全アセットにアクセスするために多くの認証情報が必要になることが想定されるため、複数のネットワーク認証情報が必要になる場合があります。逆に、vCenter または Satellite ソースは、通常、必要に応じて単一の vCenter または Satellite 認証情報を使用して特定のシステム管理ソリューションサーバーにアクセスします。また、OpenShift、Ansible、または RHACS ソースは、単一のクラスターにアクセスするために単一の認証情報を使用します。
Sources ビューから新しいソースを追加でき、Credentials ビューから新しい認証情報を追加できます。ソースの作成中に、新しい認証情報を追加したり、既存の認証情報を選択したりすることもできます。認証情報をソースに直接関連付けるのは、ソースの作成時です。ソースと認証情報には一致するタイプが必要なため、ソースの作成時に追加する認証情報はソースと同じタイプを共有します。さらに、ソースの作成時に既存の認証情報を使用する場合は、利用可能な認証情報のリストに同じタイプの認証情報のみが含まれます。たとえば、ネットワークソースの作成時に利用できるのは、ネットワーク認証情報のみです。
3.6.4. Red Hat Advanced Cluster Security for Kubernetes 認証
Red Hat Advanced Cluster Security for Kubernetes (RHACS) スキャンの場合、RHACS API への接続性とアクセスは、TLS (Transport Layer Security) で暗号化された API トークンを使用したベアラートークン認証から導出されます。デフォルトでは、RHACS スキャンは TLS プロトコルを介した証明書の検証とセキュアな通信を使用して実行されます。ソースの作成時に、証明書の検証とセキュアな通信に使用するいくつかの異なる SSL (Secure Sockets Layer) および TLS プロトコルから選択できます。
スキャン中に RHACS ポータルに接続できるように、証明書検証のレベルの調整が必要な場合があります。たとえば、RHACS インスタンスは、認証局による検証済みの TLS 証明書を使用する場合があります。ソースのスキャン時に証明書を確認できるように、ソースの作成時に TLS 証明書の検証をアップグレードできます。逆に、RHACS インスタンスは自己署名証明書を使用する場合があります。ソースのスキャンで証明書が確認されないように、ソースの作成時に TLS 検証をデフォルトのままにすることができます。このように、自己署名証明書を使用する場合にオプションをデフォルトのままにすることで、スキャンエラーを回避できる可能性があります。
RHACS インスタンスが Web アプリケーションに TSL 通信を使用するように設定されていない場合は、スキャン時のセキュアな通信方法として TSL を無効にする必要がある場合もあります。たとえば、RHACS インスタンスが、ポート 80 で HTTP を使用して Web アプリケーションと通信するように設定されている場合があります。その場合は、ソースの作成時に、そのソースのスキャンに対して TSL 通信を無効にできます。
