5.3. 보안 정책 생성 및 수정

프로세스

1. 정책의 이름을 입력합니다. 정책에는 5~128자 사이의 이름이 있어야 하며 새 행 또는 달러 기호를 포함할 수 없습니다.
2. 이 정책의 심각도 수준을 선택합니다.
3. 카테고리 목록에서 정책에 대한 정책 범주를 선택합니다.
4. 설명 필드에 정책에 대한 세부 정보를 입력합니다.
5. Rationale 필드에 정책이 존재하는 이유에 대한 설명을 입력합니다.
6. 지침 필드에 이 정책 위반을 해결하는 단계를 입력합니다.

7. MITRE ATT&CK 섹션에서 정책에 지정할 전략 및 기술을 선택합니다.

   1. 전략 추가 를 클릭한 다음 드롭다운 목록에서 전략을 선택합니다.
   2. 선택한 전략의 기술을 추가하려면 추가 기술을 클릭합니다. 방법에 대한 여러 기술을 지정할 수 있습니다.
8. 다음을 클릭합니다.

프로세스

1. 정책의 라이프사이클 단계를 선택합니다.

   • Build: 이 단계의 정책은 이미지 레지스트리, 콘텐츠, 취약점 데이터 및 검사 프로세스와 관련된 이미지 기준만 검사할 수 있습니다. 이는 CI 파이프라인에서 평가되므로 정책 위반을 통해 적용 시 빌드를 중단할 수 있습니다. 이 단계의 위반은 RHACS에 의해 저장되지 않습니다.
   • deploy: 이 단계에서 정책에서는 워크로드 구성 및 해당 이미지를 검사할 수 있습니다. 이러한 정책은 워크로드 리소스를 생성하거나 업데이트하는 동안 평가되고 주기적으로 또는 온디맨드로 재평가됩니다. 정책 위반으로 인해 승인 컨트롤러가 배포 또는 업데이트 시도를 거부하거나 워크로드 복제본을 0으로 축소할 수 있습니다.
   • Build and Deploy: 정책이 빌드 파이프라인과 워크로드 승인 중 이미지를 검사하고 둘 다 또는 두 단계에 시행을 적용하려면 이 단계를 선택합니다.

   • runtime: 이 단계의 정책은 다음 두 이벤트 소스와 연결된 워크로드 활동 또는 Kubernetes 리소스 작업을 검사합니다.

     • 배포: 워크로드 활동을 검사하는 런타임 정책에는 하나 이상의 워크로드 활동 기준이 필요합니다. 워크로드 활동 기준은 이미지 또는 워크로드 구성 기준과 결합될 수 있습니다. 적용은 잘못된 Pod를 종료한 다음 Pod가 다시 생성됩니다.
     • 감사 로그: Kubernetes 리소스 작업을 평가하는 런타임 정책은 Kubernetes 감사 로그를 사용하여 중요한 작업을 찾습니다. 작업이 이미 수행되었기 때문에 이 소스를 사용하는 정책에 대한 적용은 구성할 수 없습니다.
2. 다음을 클릭합니다.

프로세스

1. Rules 섹션에서 정책을 트리거할 조건을 구성합니다. 규칙 제목을 편집할 수 있습니다. 예를 들어 규칙 1 을 보다 설명이 포함된 것으로 변경할 수 있습니다.

2. 각 규칙에 대해 정책 필드를 클릭하여 정책 섹션으로 끌어 정책 필드 또는 기준을 추가합니다.

   참고

   사용 가능한 정책 필드는 정책에 선택한 라이프사이클 단계에 따라 다릅니다. 예를 들어 Networking 또는 Workload 활동 아래의 기준은 런타임 라이프사이클에 대한 정책을 생성할 때 사용할 수 있지만 빌드 라이프사이클에 대한 정책을 생성할 때는 사용할 수 없습니다. 기준 및 사용 가능한 라이프사이클 단계에 대한 정보를 포함하여 정책 기준에 대한 자세한 내용은 "정책 기준"을 참조하십시오.

3. 각 필드에 대해 필드와 관련된 옵션 중에서 선택할 수 있습니다. 이는 필드 유형에 따라 다릅니다. 예를 들면 다음과 같습니다.

   • 문자열인 값의 기본 동작은 정책 필드에서 일치시킬 것이며 필드를 일치시키지 않도록 하려면 Not 를 클릭하여 표시합니다.
   • 일부 필드에는 true 또는 false 인 값이 포함되어 있습니다.
   • 일부 필드에는 드롭다운 목록에서 값을 선택해야 합니다.
   • Read-Only Root Filesystem 과 같은 부울 값이 있는 속성을 선택하는 경우 READ-ONLY 및 WRI Cryostat 옵션을 사용할 수 있습니다.

   • 환경 변수와 같은 복합 값이 있는 특성을 선택하는 경우 Key, Value 및 Value From 필드에 대한 값을 입력한 다음 아이콘을 클릭하여 사용 가능한 옵션에 대한 값을 추가할 수 있습니다.

     참고

     정책 기준에 사용할 수 있는 값에 대한 자세한 내용은 "정책 기준"을 참조하십시오.

4. 속성에 대해 여러 값을 결합하려면 추가 아이콘을 클릭합니다.
5. 선택 사항: 새 규칙 추가를 클릭하여 추가 규칙을 추가합니다.
6. 다음을 클릭합니다.

프로세스

1. 다음 옵션 중 하나를 구성합니다.

   • 제한 범위: 이 정책은 특정 클러스터, 네임스페이스 또는 배포 라벨에만 적용할 수 있습니다. 여러 범위를 추가하고 RE2 구문 에서 네임스페이스 및 레이블에 정규식을 사용할 수도 있습니다.

   • scope로 제외: 정책에서 특정 배포, 클러스터, 네임스페이스 및 배포 라벨을 제외합니다. 정책은 선택한 엔터티에는 적용되지 않습니다. 여러 범위를 추가하고 RE2 구문 에서 네임스페이스 및 레이블에 정규식을 사용할 수도 있습니다. 그러나 배포 선택에는 정규식을 사용할 수 없습니다.

     참고

     이 기능은 배포 및 런타임 라이프사이클 단계에 대해 구성된 정책에만 사용할 수 있습니다.

   • 이미지 제외: 빌드 라이프사이클 단계에 대해 구성된 정책의 경우 정책에서 이미지를 제외할 수 있습니다. 위반을 트리거하지 않으려는 이미지를 선택합니다.

     참고

     제외된 이미지 설정은 Build 라이프사이클 단계와 함께 연속 통합 시스템에서 이미지를 확인하는 경우에만 적용됩니다. 이 정책을 사용하여 Runtime 라이프사이클 단계의 Deploy 라이프사이클 단계 또는 런타임 활동에서 실행 중인 배포를 확인하는 경우에는 적용되지 않습니다.

2. 다음을 클릭합니다.

프로세스

1. 정책 활성화를 선택하거나 비활성화를 선택하여 비활성화 합니다.
2. 다음을 클릭합니다.

프로세스

1. 적용 방법 선택:

   • notify: 위반 목록에 위반을 포함합니다.
   • 정보 및 적용: 위반 목록에 위반 사항을 포함시키고 구성한 작업을 적용합니다. 이 옵션을 선택하는 경우 적절한 라이프사이클에 토글을 사용하여 정책의 적용 동작을 선택해야 합니다.

2. 정책을 적용하도록 선택하는 경우 적용 동작을 구성합니다. 선택할 수 있는 적용 동작은 정책 정의의 라이프 사이클 섹션에 있는 정책에 대해 선택한 라이프사이클 단계에 따라 다릅니다. 다음 적용 동작은 라이프사이클 단계에 따라 사용할 수 있습니다.

   • Build: 이미지가 정책의 기준과 일치하는 경우 RHACS가 연속 통합 (CI) 빌드에 실패하도록 Build 를 선택합니다. roxctl CLI를 다운로드하고 정책과 함께 작동하도록 roxctl image check 명령을 구성할 수 있습니다.

   • deploy: RHACS 승인 컨트롤러가 구성되어 실행 중인 경우 RHACS 승인 컨트롤러의 조건과 일치하는 RHACS 블록 워크로드 승인 승인 및 업데이트를 사용하려면 배포 시 시행 을 선택합니다.

     • 승인 컨트롤러 적용이 있는 클러스터에서 Kubernetes 또는 OpenShift Container Platform API 서버는 호환되지 않는 모든 배포를 차단합니다. 다른 클러스터에서 RHACS는 비호환 배포를 편집하여 Pod가 예약되지 않도록 합니다.
     • 기존 배포의 경우 정책 변경으로 인해 Kubernetes 이벤트가 발생하는 경우 다음 기준을 탐지할 때만 적용됩니다. 적용에 대한 자세한 내용은 "Deploy stage enforcement"를 참조하십시오.

   • Runtime: Pod의 이벤트가 정책 기준과 일치할 때 RHACS가 모든 Pod를 삭제하도록 Runtime 을 선택합니다.

     주의

     정책 적용은 실행 중인 애플리케이션 또는 개발 프로세스에 영향을 미칠 수 있습니다. 시행 옵션을 활성화하기 전에 모든 이해 관계자에게 알리고 자동화된 적용 작업에 대응하는 방법을 계획하십시오.

3. 다음을 클릭합니다.

프로세스

1. RHACS가 정책을 위반하는 경우 알리는 데 사용할 알림기를 선택합니다.
2. 다음을 클릭합니다.

프로세스

1. 정책 구성이 올바른 옵션으로 구성되었는지 확인합니다.

2. 프리뷰 위반 패널에서 결과를 보고 정책이 작동하는지 확인합니다. 이 패널은 빌드 단계 또는 배포 단계 배포에 정책 위반이 있는지 여부를 포함하여 추가 정보를 제공합니다.

   참고

   런타임 위반은 향후 이벤트가 발생할 때 생성되므로 이 프리뷰에서는 사용할 수 없습니다.

   정책을 저장하기 전에 위반 사항이 정확한 것으로 표시되는지 확인합니다.

3. 저장을 클릭합니다.

프로세스

1. RHACS 포털에서 플랫폼 구성 정책 관리로 이동합니다. 기본 정책의 경우 적용 옵션을 편집할 수 없습니다.
2. 워크로드 작업에 대해 정책을 평가하지 않으려면 작업 정책 편집을 선택합니다.
3. 왼쪽 탐색 메뉴에서 작업을 선택합니다.
4. 활성화 상태 필드에서 Disable 을 선택합니다.
5. 정책을 저장합니다.