红帽全球峰会You are viewing documentation for a release that is no longer maintained. To view the documentation for the most recent version, see the latest RHACS docs.
5.4. 创建自定义策略
除了使用默认策略外,您还可以在 Red Hat Advanced Cluster Security for Kubernetes 中创建自定义策略。
要构建新策略,您可以克隆现有的策略,也可以从头开始创建一个新策略。
- 您还可以根据 RHACS 门户中 Risk 视图中的过滤条件来创建策略。
-
您还可以在策略条件中使用
AND、或,而不是逻辑运算符来创建高级策略。
5.4.1. 从系统策略视图创建安全策略
您可以从系统策略视图创建新安全策略。
流程
-
在 RHACS 门户网站中,导航至 Platform Configuration
Policies。 - 点击 Create policy。
在 Policy details 部分输入策略的详情:
- 为策略输入一个 Name。
可选:从 Attach notifiers 部分的 available Notifiers 部分中选择将通知附加到策略。
注意在转发警报前,您必须将 Red Hat Advanced Cluster Security for Kubernetes 与通知提供程序集成,如 Webhook、JIRA、Pageruty、Splunk 或其他。
-
为这个策略选择一个 严重级别,可以是
Critical、High、Medium或Low。 - 选择您要 应用到 此策略的策略类别。
- 在 Description 框中输入策略详情。
- 输入有关在 Rationale 框中存在策略的原因。
- 在 Guidance 框中输入解决此策略的违反情况的步骤。
可选:在 MITRE ATT&CK 部分,选择您要为策略指定的技巧和您要指定的 技术。
- 单击 Add tactic,然后从下拉列表中选择 tactic。
- 单击 Add 技术 来为所选的 Tactic 添加技术。您可以为 tactic 指定多个技巧。
- 点击 Next。
在 Policy 行为 部分中,为策略选择 Lifecycle 阶段 和 事件源(仅限运行时生命周期 )。
从 Build、Deploy 或 Runtime 中选择适合您的策略的 Lifecycle Stage。您可以选择多个阶段。
- 构建时策略适用于镜像字段,如 CVE 和 Dockerfile 指令。
- deploy-time 策略可以包括所有构建时策略标准,但还可包含集群配置中的数据,如以特权模式运行或挂载 Docker 套接字。
- 运行时策略可以包括所有构建时和部署时策略标准,但也可在运行时包括有关进程执行的数据。
对于 Response 方法,请选择:
- 用于在 违反列表中包括违反情况。
或选择 Inform and enforce 强制执行操作。
选择策略的强制行为。它仅适用于您在配置 Lifecycle Stages 时选择的各个阶段。选择 ON (启用)来强制执行策略并报告冲突,OFF (禁用)仅报告违反情况。各个生命周期阶段的行为都不同。
- Build - 当镜像与策略条件匹配时,Red Hat Advanced Cluster Security for Kubernetes Kubernetes 的持续集成(CI)构建会失败。
- Deployment - Red Hat Advanced Cluster Security for Kubernetes 块创建与策略条件匹配的部署。在进行准入控制器的集群中,Kubernetes 或 OpenShift Container Platform API 服务器会阻断所有不合规的部署。在其他集群中,Red Hat Advanced Cluster Security for Kubernetes 编辑不合规的部署,以防止调度 pod。
Runtime - Red Hat Advanced Cluster Security for Kubernetes 会终止所有与策略条件匹配的 pod,或阻止对 pod 执行的操作。
警告策略实施可能会影响正在运行的应用程序或开发过程。在启用强制选项前,请告知所有相关人员并计划如何响应自动化执行操作。
- 点击 Next。
- 在 Policy Criteria 部分中,配置您要为其触发策略的属性。
- 点击 Next。
在 Policy scope 部分中,配置以下内容:
- 点 Add included Scope 来使用 Restrict to Scope,以便仅对特定集群、命名空间或标签启用此策略。您可以添加多个范围,并在 RE2 语法中为命名空间 和标签使用正则表达式。
- 点 Add exclusion 范围 使用 Scope 排除部署、集群、命名空间和标签,这意味着策略不会应用到您选择的实体。您可以添加多个范围,并在 RE2 语法中为命名空间 和标签使用正则表达式。但是,您不能使用正则表达式来选择部署。
对于 排除的镜像(仅Build Lifecycle),请选择您不想触发违反情况的所有镜像。
注意排除的镜像 设置只在您通过 Build 生命周期阶段连续集成系统中检查镜像时应用。如果您使用此策略检查 Deploy 生命周期阶段或运行时活动中的部署,则不会生效。
- 点击 Next。
- 在 Review policy 部分,预览策略违反情况。
- 点击 Save。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}