지원콘솔개발자평가판 시작연락처

5.4. 사용자 정의 정책 생성

기본 정책을 사용하는 것 외에도 Red Hat Advanced Cluster Security for Kubernetes에서 사용자 지정 정책을 생성할 수도 있습니다.

새 정책을 빌드하려면 기존 정책을 복제하거나 처음부터 새 정책을 생성할 수 있습니다.

  • RHACS 포털의 위험 보기의 필터 기준에 따라 정책을 생성할 수도 있습니다.
  • 정책 기준에 대해서는 AND , 또는NOT 논리 연산자를 사용하여 고급 정책을 생성할 수도 있습니다.

5.4.1. 시스템 정책 보기에서 보안 정책 생성

시스템 정책 보기에서 새 보안 정책을 생성할 수 있습니다.

절차

  1. RHACS 포털에서 플랫폼 구성 정책으로 이동 합니다.
  2. 정책 생성을 클릭합니다.

  3. 정책 세부 정보 섹션에서 정책에 대한 다음 세부 정보 를 입력합니다.

    • 정책 이름 을 입력합니다.

    • 선택 사항: Attach notifiers 섹션 아래의 사용 가능한 Notifiers 에서 선택하여 정책에 알림기를 연결합니다.

      참고

      Kubernetes용 Red Hat Advanced Cluster Security for Kubernetes를 알림 공급자와 통합해야 합니다(예: Webhook, JIRA, PagerDuty, Splunk 또는 기타)는 경고를 전달할 수 있습니다.

    • 이 정책의 심각도 수준(심각 , 높음 ,중간 또는 낮음 )을 선택합니다.
    • 이 정책에 적용하려 는 정책 범주를 선택합니다.
    • Description (설명) 상자에 정책에 대한 세부 정보를 입력합니다.
    • Rationale 상자에 정책이 존재하는 이유에 대한 설명을 입력합니다.
    • Guidance 상자에서 이 정책 위반을 해결하기 위한 단계를 입력합니다.

    • 선택 사항: MITRE ATT&CK 섹션에서 정책에 지정할 전술 과 기술 을 선택합니다.

      1. 술 추가 를 클릭한 다음 드롭다운 목록에서 전술을 선택합니다.
      2. 추가 기술 을 클릭하여 선택한 전술에 대한 기술을 추가합니다. 전략에 대해 여러 가지 기술을 지정할 수 있습니다.
  4. 다음을 클릭합니다.

  5. 정책 동작 섹션에서 정책에 대한 수명 주기 단계이벤트 소스(런타임 라이프사이클만 해당) 를 선택합니다.

    • 빌드,배포 또는 런타임 에서 정책이 적용되는 라이프사이클 단계 를 선택합니다. 하나 이상의 단계를 선택할 수 있습니다.

      • 빌드 타임 정책은 CVE 및 Dockerfile 명령과 같은 이미지 필드에 적용됩니다.
      • 배포 시간 정책에는 모든 빌드 시간 정책 기준이 포함될 수 있지만 권한 있는 모드에서 실행하거나 Docker 소켓 마운트와 같은 클러스터 구성의 데이터를 포함할 수도 있습니다.
      • 런타임 정책에는 모든 빌드 시간 및 배포 시간 정책 기준이 포함될 수 있지만 런타임 중 프로세스 실행에 대한 데이터를 포함할 수도 있습니다.

  6. 응답 방법 의 경우 다음 중 하나를 선택합니다.

    1. 위반 목록에 위반 사항을 포함하도록 알립니다.

    2. 또는 Inform and enforce 를 선택하여 작업을 적용합니다.

      • 정책에 대한 적용 동작을 선택합니다. 라이프사이클 단계 를 구성할 때 선택하는 단계에만 사용할 수 있습니다. ON (활성화)을 선택하여 정책을 적용하고 위반을 보고하고 비활성화(비활성화)를 보고하여 위반만 보고합니다. 적용 동작은 라이프사이클 단계마다 다릅니다.

        • Build - Red Hat Advanced Cluster Security for Kubernetes는 이미지가 정책 조건과 일치하면 CI(Continuous Integration) 빌드에 실패합니다.
        • 배포 - Red Hat Advanced Cluster Security for Kubernetes block이 정책 조건과 일치하는 배포를 생성합니다. 승인 컨트롤러가 적용되는 클러스터에서 Kubernetes 또는 OpenShift Container Platform API 서버는 비호환 배포를 모두 차단합니다. 다른 클러스터에서는 Pod가 예약되지 않도록 Kubernetes에 대한 Red Hat Advanced Cluster Security for Kubernetes 편집 편집이 필요하지 않습니다.

        • 런타임 - Red Hat Advanced Cluster Security for Kubernetes는 정책 조건과 일치하는 모든 Pod를 종료하거나 Pod에서 수행된 작업을 차단합니다.

          주의

          정책 적용은 실행 중인 애플리케이션 또는 개발 프로세스에 영향을 미칠 수 있습니다. 적용 옵션을 활성화하기 전에 모든 이해 관계자에게 알리고 자동화된 시행 조치에 응답하는 방법에 대해 계획하십시오.

  7. 다음을 클릭합니다.
  8. 정책 기준 섹션에서 정책을 트리거할 속성을 구성합니다.
  9. 다음을 클릭합니다.

  10. 정책 범위 섹션에서 다음을 구성합니다.

    • 제한 범위 를 클릭하여 특정 클러스터, 네임스페이스 또는 라벨에 대해서만 이 정책을 활성화합니다. 여러 범위를 추가하고 네임스페이스 및 라벨에 RE2 Syntax 에서 정규식을 사용할 수도 있습니다.
    • 제외 범위 추가 를 클릭하여 배포, 클러스터, 네임스페이스 및 레이블을 제외하기 위해 범위로 Exclude 를 사용합니다. 이는 정책이 선택한 엔터티에 적용되지 않음을 의미합니다. 여러 범위를 추가하고 네임스페이스 및 라벨에 RE2 Syntax 에서 정규식을 사용할 수도 있습니다. 그러나 정규 표현식을 사용하여 배포를 선택할 수는 없습니다.

    • 제외 이미지(빌드 라이프사이클만) 의 경우 위반을 트리거하지 않으려는 모든 이미지를 선택합니다.

      참고

      제외 이미지 설정은 빌드 라이프사이클 단계와 연속 통합 시스템의 이미지를 확인하는 경우에만 적용됩니다. 이 정책을 사용하여 런타임 라이프사이클 단계의 배포 단계 또는 런타임 활동에서 실행 중인 배포 를 확인하는 경우 적용되지 않습니다.

  11. 다음을 클릭합니다.
  12. 검토 정책 섹션에서 정책 위반을 미리 봅니다.
  13. 저장을 클릭합니다.

추가 리소스

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.