Red Hat Summit4.6. 프로세스 기준 사용
인프라 보안에 대한 프로세스 기본 설정을 사용하여 위험을 최소화할 수 있습니다. 이 접근 방식을 통해 Red Hat Advanced Cluster Security for Kubernetes는 먼저 기존 프로세스를 검색하고 기준을 생성합니다. 그런 다음 기본 거부 모드에서 작동하며 기준선에 나열된 프로세스만 실행할 수 있습니다.
프로세스 기준
Red Hat Advanced Cluster Security for Kubernetes를 설치할 때 기본 프로세스 기준이 없습니다. Red Hat Advanced Cluster Security for Kubernetes는 배포를 검색하므로 배포의 모든 컨테이너 유형에 대한 프로세스 기준을 생성합니다. 그런 다음 검색된 모든 프로세스를 자체 프로세스 기준선에 추가합니다.
프로세스 기준 상태
프로세스 검색 단계에서 모든 기준선은 잠금 해제 상태에 있습니다.
잠금 해제된 상태에서 다음을 수행합니다.
- Red Hat Advanced Cluster Security for Kubernetes가 새 프로세스를 발견하면 프로세스 기준선에 해당 프로세스를 추가합니다.
- 프로세스는 위험으로 표시되지 않으며 위반을 트리거하지 않습니다.
Red Hat Advanced Cluster Security for Kubernetes가 배포의 컨테이너에서 첫 번째 프로세스 표시기를 수신한 후 프로세스 검색 단계를 완료합니다. 이 시점에서 다음을 수행합니다.
- Red Hat Advanced Cluster Security for Kubernetes는 프로세스 기준선에 프로세스 추가를 중지합니다.
- 프로세스 기준선에 없는 새 프로세스는 위험으로 표시되지만 위반을 트리거하지는 않습니다.
위반을 생성하려면 프로세스 기준선을 수동으로 잠그어야 합니다.
잠긴 상태에서 다음을 수행합니다.
- Red Hat Advanced Cluster Security for Kubernetes는 프로세스 기준선에 프로세스 추가를 중지합니다.
- 프로세스 기준 트리거 위반에 없는 새 프로세스입니다.
잠금 해제되거나 잠금 해제된 기준 상태와는 무관하게도 항상 기준선에서 프로세스를 추가하거나 제거할 수 있습니다.
배포의 경우 각 Pod에 여러 컨테이너가 있는 경우 Kubernetes용 Red Hat Advanced Cluster Security는 각 컨테이너 유형에 대한 프로세스 기준을 생성합니다. 이러한 배포의 경우 일부 기준선이 잠겨 있고 일부가 잠금 해제된 경우 해당 배포의 기본 상태가 Cryostated 로 표시됩니다.
4.6.1. 프로세스 기준 보기
위험 관점에서 프로세스 기준선을 볼 수 있습니다.
프로세스
- RHACS 포털의 탐색 메뉴에서 Risk 를 선택합니다.
- 기본 위험 보기의 배포 목록에서 배포를 선택합니다. 오른쪽의 패널에서 배포 세부 정보가 열립니다.
- Deployment details 패널에서 Process Discovery 탭을 선택합니다.
- 프로세스 기준선은 Spec Container Baselines 섹션 아래에 표시됩니다.
4.6.2. 기준선에 프로세스 추가
기준선에 프로세스를 추가할 수 있습니다.
프로세스
- RHACS 포털의 탐색 메뉴에서 Risk 를 선택합니다.
- 기본 위험 보기의 배포 목록에서 배포를 선택합니다. 오른쪽의 패널에서 배포 세부 정보가 열립니다.
- Deployment details 패널에서 Process Discovery 탭을 선택합니다.
- 실행 중 섹션에서 프로세스 기준선에 추가할 프로세스의 추가 아이콘을 클릭합니다.
추가 아이콘은 프로세스 기준선에 없는 프로세스에 대해서만 사용할 수 있습니다.
4.6.3. 기준에서 프로세스 제거
기준선에서 프로세스를 제거할 수 있습니다.
프로세스
- RHACS 포털의 탐색 메뉴에서 Risk 를 선택합니다.
- 기본 위험 보기의 배포 목록에서 배포를 선택합니다. 오른쪽의 패널에서 배포 세부 정보가 열립니다.
- Deployment details 패널에서 Process Discovery 탭을 선택합니다.
- Spec Container baselines 섹션에서 프로세스 기준에서 제거할 프로세스의 제거 아이콘을 클릭합니다.
4.6.4. 프로세스 기준 잠금 및 잠금 해제
기준선을 잠그 면 기준선에 나열되지 않은 모든 프로세스에 대한 위반을 트리거하고 기준의 잠금을 해제 하여 위반 트리거를 중지할 수 있습니다.
프로세스
- RHACS 포털의 탐색 메뉴에서 Risk 를 선택합니다.
- 기본 위험 보기의 배포 목록에서 배포를 선택합니다. 오른쪽의 패널에서 배포 세부 정보가 열립니다.
- Deployment details 패널에서 Process Discovery 탭을 선택합니다.
Spec Container baselines 섹션에서 다음을 수행합니다.
- 잠금 아이콘을 클릭하여 기준선에 없는 프로세스에 대한 위반을 트리거합니다.
- Unlock 아이콘을 클릭하여 기준선에 없는 프로세스에 대한 위반 트리거를 중지합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}