Red Hat Summit4.2. 위험 보기에서 보안 정책 생성
위험 보기에서 배포 위험을 평가하는 동안 로컬 페이지 필터링을 적용할 때 사용 중인 필터링 기준을 기반으로 새 보안 정책을 만들 수 있습니다.
프로세스
- RHACS 포털로 이동하여 탐색 메뉴에서 위험을 선택합니다.
- 정책을 생성할 로컬 페이지 필터링 기준을 적용합니다.
- 새 정책을 선택하고 필수 필드를 입력하여 새 정책을 생성합니다.
4.2.1. Red Hat Advanced Cluster Security for Kubernetes가 필터링 기준을 정책 기준으로 변환하는 방법 이해
사용하는 필터링 기준에 따라 위험 보기에서 새 보안 정책을 생성할 때 모든 기준이 새 정책에 직접 적용되는 것은 아닙니다.
Red Hat Advanced Cluster Security for Kubernetes는 클러스터,네임스페이스 및 배포 필터를 동등한 정책 범위로 변환합니다.
위험 보기에서 로컬 페이지 필터링은 다음 방법을 사용하여 검색 용어를 결합합니다.
-
검색 용어를
OR연산자와 동일한 범주 내에서 결합합니다. 예를 들어 검색 쿼리가Cluster:A,B인 경우 필터는클러스터 A 또는의 배포와 일치합니다.클러스터B -
다른 범주의 검색 용어를
AND연산자와 결합합니다. 예를 들어 검색 쿼리가Cluster:A+Namespace:Z인 경우 필터는클러스터 A및네임스페이스 Z의 배포와 일치합니다.
-
검색 용어를
정책에 여러 범위를 추가하면 정책은 해당 범위의 위반과 일치합니다.
-
예를 들어
(Cluster A OR Cluster B) 및 (Namespace Z)를 검색하는 경우 두 개의 정책 범위(Cluster=A AND Namespace=Z)또는(Cluster=B AND Namespace=Z)입니다.
-
예를 들어
- Red Hat Advanced Cluster Security for Kubernetes는 정책 기준에 직접 매핑되지 않고 삭제된 필터를 보고하는 필터를 삭제하거나 수정합니다.
다음 표에는 필터링 검색 속성이 정책 기준에 매핑되는 방법이 나열되어 있습니다.
| 검색 속성 | 정책 기준 |
|---|---|
| 기능 추가 | 기능 추가 |
| 주석 | 허용되지 않는 주석 |
| CPU 코어 제한 | 컨테이너 CPU 제한 |
| CPU 코어 요청 | 컨테이너 CPU 요청 |
| CVE | CVE |
| CVE 게시됨 | Cryostat dropped |
| CVE Sno Cryostated | Cryostat dropped |
| CVSS | CVSS |
| Cluster | Cryostat 범위로 변환됨 |
| Component | 이미지 구성 요소(이름) |
| 구성 요소 버전 | 이미지 구성 요소(버전) |
| Deployment | Cryostat 범위로 변환됨 |
| 배포 유형 | Cryostat dropped |
| Dockerfile 지침 키워드 | Dockerfile 라인(키) |
| Dockerfile 명령 값 | Dockerfile 라인(값) |
| 드롭 기능 | Cryostat dropped |
| 환경 키 | 환경 변수(키) |
| 환경 값 | 환경 변수(값) |
| 환경 변수 소스 | 환경 변수(소스) |
| 노출된 노드 포트 | Cryostat dropped |
| 서비스 노출 | Cryostat dropped |
| 서비스 포트 노출 | Cryostat dropped |
| 노출 수준 | 포트 노출 |
| 외부 호스트 이름 | Cryostat dropped |
| 외부 IP | Cryostat dropped |
| 이미지 | Cryostat dropped |
| 이미지 명령 | Cryostat dropped |
| 이미지 생성 시간 | 이미지가 생성된 이후 일수 |
| 이미지 Entrypoint | Cryostat dropped |
| 이미지 라벨 | 허용되지 않는 이미지 라벨 |
| 이미지 OS | 이미지 OS |
| 이미지 가져오기 시크릿 | Cryostat dropped |
| 이미지 레지스트리 | 이미지 레지스트리 |
| 이미지 원격 이미지 | 이미지 원격 이미지 |
| 이미지 검사 시간 | 이미지가 마지막으로 스캔된 이후의 일 |
| 이미지 태그 | 이미지 태그 |
| 이미지 상위 CVSS | Cryostat dropped |
| 이미지 사용자 | Cryostat dropped |
| 이미지 볼륨 | Cryostat dropped |
| 레이블 | Cryostat 범위로 변환됨 |
| 최대 노출 수준 | Cryostat dropped |
| 메모리 제한(MB) | 컨테이너 메모리 제한 |
| 메모리 요청(MB) | 컨테이너 메모리 요청 |
| 네임스페이스 | Cryostat 범위로 변환됨 |
| 네임스페이스 ID | Cryostat dropped |
| Pod 라벨 | Cryostat dropped |
| 포트 | 포트 |
| 포트 프로토콜 | 프로토콜 |
| 우선 순위 | Cryostat dropped |
| privileged | privileged |
| 프로세스 Ancestor | 프로세스 Ancestor |
| 프로세스 인수 | 프로세스 인수 |
| 프로세스 이름 | 프로세스 이름 |
| 프로세스 경로 | Cryostat dropped |
| 프로세스 태그 | Cryostat dropped |
| 프로세스 UID | 프로세스 UID |
| 읽기 전용 루트 파일 시스템 | 읽기 전용 루트 파일 시스템 |
| Secret | Cryostat dropped |
| 시크릿 경로 | Cryostat dropped |
| 서비스 계정 | Cryostat dropped |
| 서비스 계정 권한 수준 | 최소 RBAC 권한 수준 |
| 허용 오차 키 | Cryostat dropped |
| 허용 오차 값 | Cryostat dropped |
| 볼륨 대상 | 볼륨 대상 |
| 볼륨 이름 | 볼륨 이름 |
| 볼륨 읽기 전용 | 쓰기 가능한 볼륨 |
| 볼륨 소스 | 볼륨 소스 |
| 볼륨 유형 | 볼륨 유형 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}