红帽全球峰会This documentation is for a release that is no longer maintained.
You can select a different version or view all RHACS documentation.5.4. 创建自定义策略
除了使用默认策略外,您还可以在 Red Hat Advanced Cluster Security for Kubernetes 中创建自定义策略。
要构建新策略,您可以克隆现有的策略,也可以从头开始创建一个新策略。
- 您还可以根据 RHACS 门户中 Risk 视图中的过滤条件来创建策略。
-
您还可以在策略条件中使用
AND、或,而不是逻辑运算符来创建高级策略。
5.4.1. 从系统策略视图创建安全策略
您可以从系统策略视图创建新安全策略。
流程
-
在 RHACS 门户网站中,导航至 Platform Configuration
Policies。 - 点击 Create policy。
在 Policy details 部分输入策略的详情:
- 为策略输入一个 Name。
可选:从 Attach notifiers 部分的 available Notifiers 部分中选择将通知附加到策略。
注意在转发警报前,您必须将 Red Hat Advanced Cluster Security for Kubernetes 与通知提供程序集成,如 Webhook、JIRA、Pageruty、Splunk 或其他。
-
为这个策略选择一个 严重级别,可以是
Critical、High、Medium或Low。 - 选择您要 应用到 此策略的策略类别。
- 在 Description 框中输入策略详情。
- 输入有关在 Rationale 框中存在策略的原因。
- 在 Guidance 框中输入解决此策略的违反情况的步骤。
可选:在 MITRE ATT&CK 部分,选择您要为策略指定的技巧和您要指定的 技术。
- 单击 Add tactic,然后从下拉列表中选择 tactic。
- 单击 Add 技术 来为所选的 Tactic 添加技术。您可以为 tactic 指定多个技巧。
- 点击 Next。
在 Policy 行为 部分中,为策略选择 Lifecycle 阶段 和 事件源(仅限运行时生命周期 )。
从 Build、Deploy 或 Runtime 中选择适合您的策略的 Lifecycle Stage。您可以选择多个阶段。
- 构建时策略适用于镜像字段,如 CVE 和 Dockerfile 指令。
- deploy-time 策略可以包括所有构建时策略标准,但还可包含集群配置中的数据,如以特权模式运行或挂载 Docker 套接字。
- 运行时策略可以包括所有构建时和部署时策略标准,但也可在运行时包括有关进程执行的数据。
对于 Response 方法,请选择:
- 用于在 违反列表中包括违反情况。
或选择 Inform and enforce 强制执行操作。
选择策略的强制行为。它仅适用于您在配置 Lifecycle Stages 时选择的各个阶段。选择 ON (启用)来强制执行策略并报告冲突,OFF (禁用)仅报告违反情况。各个生命周期阶段的行为都不同。
- Build - 当镜像与策略条件匹配时,Red Hat Advanced Cluster Security for Kubernetes Kubernetes 的持续集成(CI)构建会失败。
- Deployment - Red Hat Advanced Cluster Security for Kubernetes 块创建与策略条件匹配的部署。在进行准入控制器的集群中,Kubernetes 或 OpenShift Container Platform API 服务器会阻断所有不合规的部署。在其他集群中,Red Hat Advanced Cluster Security for Kubernetes 编辑不合规的部署,以防止调度 pod。
Runtime - Red Hat Advanced Cluster Security for Kubernetes 会终止所有与策略条件匹配的 pod,或阻止对 pod 执行的操作。
警告策略实施可能会影响正在运行的应用程序或开发过程。在启用强制选项前,请告知所有相关人员并计划如何响应自动化执行操作。
- 点击 Next。
- 在 Policy Criteria 部分中,配置您要为其触发策略的属性。
- 点击 Next。
在 Policy scope 部分中,配置以下内容:
- 点 Add included Scope 来使用 Restrict to Scope,以便仅对特定集群、命名空间或标签启用此策略。您可以添加多个范围,并在 RE2 语法中为命名空间 和标签使用正则表达式。
- 点 Add exclusion 范围 使用 Scope 排除部署、集群、命名空间和标签,这意味着策略不会应用到您选择的实体。您可以添加多个范围,并在 RE2 语法中为命名空间 和标签使用正则表达式。但是,您不能使用正则表达式来选择部署。
对于 排除的镜像(仅Build Lifecycle),请选择您不想触发违反情况的所有镜像。
注意排除的镜像 设置只在您通过 Build 生命周期阶段连续集成系统中检查镜像时应用。如果您使用此策略检查 Deploy 生命周期阶段或运行时活动中的部署,则不会生效。
- 点击 Next。
- 在 Review policy 部分,预览策略违反情况。
- 点击 Save。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}