Red Hat Summit7.2. 심각도가 높은 보안 정책
다음 표에는 심각도가 높은 Kubernetes용 Red Hat Advanced Cluster Security의 기본 보안 정책이 나열되어 있습니다. 정책은 라이프 사이클 단계에 따라 구성됩니다.
| 라이프 사이클 단계 | 이름 | 설명 | 상태 |
|---|---|---|---|
| 빌드 또는 배포 | 수정 가능한 CVSS >= 7 | 수정 가능한 취약점이 있는 배포에 최소 7개 이상의 CVSS가 있는 경우 경고 | disabled |
| 빌드 또는 배포 | 최소한 중요 (Important) 수정 가능한 심각도 | 수정 가능한 취약점이 있는 배포의 심각도 등급은 중요 (Important) 등급으로 분류되어 있습니다. | enabled |
| 빌드 또는 배포 | Secure Shell (ssh) 포트 노출 | 배포 시 일반적으로 SSH 액세스를 위해 예약되어 있는 포트 22를 노출할 때 경고합니다. | enabled |
| 배포 | 긴급 배포 주석 | 배포 시 경고는 "admission.stackrox.io/break-glass":"ticket-1234" to circumvent StackRox Admission Controller 검사와 같은 긴급 주석을 사용합니다. | enabled |
| 배포 | 환경 변수 시크릿 포함 | 배포에 'SECRET'이 포함된 환경 변수가 있는 경우 경고. | enabled |
| 배포 | 수정 가능한 CVSS >= 6 및 권한 | 배포가 권한 모드에서 실행될 때 경고는 CVSS가 6개 이상인 수정 가능한 취약점을 사용하여 권한 있는 모드에서 실행됩니다. | 버전 3.72.0 이상에서 기본적으로 비활성화 |
| 배포 | 중요 및 심각한 수정 가능한 CVE가 있는 권한 있는 컨테이너 | 권한 부여 모드에서 실행되는 컨테이너에 중요하거나 수정 가능한 취약점이 있는 경우 경고합니다. | enabled |
| 배포 | 환경 변수로 마운트된 시크릿 | 배포에 환경 변수로 마운트되는 Kubernetes 시크릿이 있는 경우 경고합니다. | disabled |
| 배포 | 보안 쉘(ssh) 포트 노출 | 배포 시 일반적으로 SSH 액세스를 위해 예약되어 있는 포트 22를 노출할 때 경고합니다. | enabled |
| 런타임 | cryptocurrency process Execution | 암호화 통화 광업 프로세스를 생성합니다. | enabled |
| 런타임 | iptables 실행 | 컨테이너에서 네트워크 상태를 관리하는 더 이상 사용되지 않는 방법인 iptables를 실행하는 시기를 감지합니다. | enabled |
| 런타임 | Kubernetes 작업: Pod로 실행 | Kubernetes API에서 컨테이너에서 명령 실행 요청을 수신할 때 경고합니다. | enabled |
| 런타임 | Linux 그룹 추가 실행 | Linux 그룹을 추가하기 위해 addgroup 또는 groupadd 바이너리를 실행하는 시기를 감지합니다. | enabled |
| 런타임 | Linux 사용자 추가 실행 | Linux 사용자를 추가하기 위해 useradd 또는 adduser 바이너리를 실행할 때를 감지합니다. | enabled |
| 런타임 | 로그인 바이너리 | 누군가가 로그인하려고 할 때를 나타냅니다. | disabled |
| 런타임 | 네트워크 관리 실행 | 사용자가 네트워크 구성 및 관리를 조작할 수 있는 바이너리 파일을 실행하는 시기를 감지합니다. | enabled |
| 런타임 | nmap 실행 | 실행 시간 동안 컨테이너에서 nmap 프로세스를 시작할 때 경고합니다. | enabled |
| 런타임 | OpenShift: Kubeadmin 시크릿 액세스 | 사용자가 kubeadmin 시크릿에 액세스할 때 경고합니다. | enabled |
| 런타임 | 암호 바이너리 | 사용자가 암호를 변경하려고 할 때를 나타냅니다. | disabled |
| 런타임 | 프로세스 대상 클러스터 Kubelet 엔드 포인트 | healthz, kubelet API 또는 힙ster 끝점의 오용을 탐지합니다. | enabled |
| 런타임 | Process Targeting Cluster Kubernetes Docker Maps Endpoint | Kubernetes docker stats 끝점의 오용을 탐지합니다. | enabled |
| 런타임 | Kubernetes 서비스 엔드 포인트 대상 프로세스 | Kubernetes 서비스 API 엔드 포인트의 오용을 탐지합니다. | enabled |
| 런타임 | UID가 0인 프로세스 | 배포에 UID 0으로 실행되는 프로세스가 포함된 경우 경고 | disabled |
| 런타임 | Secure Shell Server (sshd) 실행 | SSH 데몬을 실행하는 컨테이너를 감지합니다. | enabled |
| 런타임 | setUID 프로세스 | 에스컬레이션된 권한으로 특정 프로그램을 실행할 수 있는 setuid 바이너리 파일을 사용합니다. | disabled |
| 런타임 | 섀도우 파일 수정 | 사용자가 섀도우 파일을 수정하려고 할 때를 나타냅니다. | disabled |
| 런타임 | 쉘 스프링 (Java Application) | bash, csh, sh 또는 zsh와 같은 쉘이 Java 애플리케이션의 하위 프로세스로 실행되는 시기를 감지합니다. | enabled |
| 런타임 | 인증되지 않은 네트워크 흐름 | "잘못된 위반" 설정의 기준선 외부에 속하는 네트워크 흐름에 대한 위반을 생성합니다. | enabled |
| 런타임 | 인증되지 않은 프로세스 실행 | Kubernetes 배포의 컨테이너 사양에 대해 잠긴 프로세스 기준에서 명시적으로 허용하지 않는 프로세스 실행에 대한 위반을 생성합니다. | enabled |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}