红帽全球峰会7.2. 高严重性安全策略
下表列出了 Red Hat Advanced Cluster Security for Kubernetes 中具有高严重性的默认安全策略。策略按照生命周期阶段进行组织。
| 生命周期阶段 | 名称 | Description | 状态 |
|---|---|---|---|
| 构建或部署 | 可修复 CVSS >= 7 | 当部署具有可修复的、CVSS 最少为 7 的安全漏洞时发出警报。 | Disabled |
| 构建或部署 | 可修复的严重性至少为重要 | 当部署具有可修复漏洞的部署时,警报的严重性等级至少为 Important (重要)。 | Enabled |
| 构建或部署 | 在镜像中公开安全 Shell (ssh)端口 | 当部署公开端口 22 时发出警报,这通常为 SSH 访问保留。 | Enabled |
| 部署 | 紧急部署注解 | 当部署使用紧急注解时,如 "admission.stackrox.io/break-glass":"ticket-1234" to circumvent StackRox Admission 控制器检查。 | Enabled |
| 部署 | 环境变量包含 Secret | 当部署具有包含 'SECRET' 的环境变量时发出警报。 | Enabled |
| 部署 | 可修复 CVSS >= 6 和特权 | 当部署以特权模式运行,带有至少 6 CVSS 的可修复漏洞时发出警报。 | 在版本 3.72.0 及更高版本中默认禁用 |
| 部署 | 带有重要和关键修复的 CVE 的特权容器 | 当以特权模式运行的容器具有重要或关键修复漏洞时,会发出警报。 | Enabled |
| 部署 | Secret 挂载为环境变量 | 当部署具有作为环境变量挂载的 Kubernetes secret 时发出警报。 | Disabled |
| 部署 | Secure Shell (ssh)端口公开 | 当部署公开端口 22 时发出警报,这通常为 SSH 访问保留。 | Enabled |
| Runtime | Cryptocurrency Mining Process Execution | 生成 crypto-curcy mining 进程。 | Enabled |
| Runtime | iptables 执行 | 检测某个人运行 iptables,这是在容器中管理网络状态的已弃用方法。 | Enabled |
| Runtime | Kubernetes Actions: Exec into Pod | 当 Kubernetes API 收到一个容器中运行命令的请求时发出警报。 | Enabled |
| Runtime | Linux 组添加执行 | 检测某人运行 addgroup 或 groupadd 二进制文件来添加 Linux 组。 | Enabled |
| Runtime | Linux 用户添加执行 | 检测某人运行 useradd 或 adduser 二进制文件来添加 Linux 用户。 | Enabled |
| Runtime | Login Binaries | 指明某人尝试登录时。 | Disabled |
| Runtime | 网络管理执行 | 检测某人运行可操作网络配置和管理的二进制文件。 | Enabled |
| Runtime | nmap Execution | 当某个人在运行时启动容器中的 nmap 进程时发出警报。 | Enabled |
| Runtime | OpenShift: Kubeadmin Secret Accessed | 当某人访问 kubeadmin 机密时发出警报。 | Enabled |
| Runtime | 密码 Binaries | 指明某人尝试更改密码的时间。 | Disabled |
| Runtime | 以集群 Kubelet 端点为目标的进程 | 检测 healthz、kubelet API 或 heapster 端点的滥用。 | Enabled |
| Runtime | 以集群 Kubernetes Docker Stats 端点为目标的进程 | 检测 Kubernetes docker stats 端点的滥用。 | Enabled |
| Runtime | 以 Kubernetes 服务端点为目标的进程 | 检测 Kubernetes Service API 端点的滥用。 | Enabled |
| Runtime | UID 为 0 的进程 | 当部署包含 UID 0 运行的进程时发出警报。 | Disabled |
| Runtime | Secure Shell Server (sshd)执行 | 检测运行 SSH 守护进程的容器。 | Enabled |
| Runtime | setuid 进程 | 使用 setuid 二进制文件,允许人们使用升级的特权运行某些程序。 | Disabled |
| Runtime | 影子文件修改 | 指明某人试图修改影子文件。 | Disabled |
| Runtime | Java 应用程序 shell Spawned | 检测何时将 shell (如 bash、csh、sh 或 zsh)作为 Java 应用程序的子进程运行。 | Enabled |
| Runtime | 未授权的网络流 | 为任何位于"alert on anomal anomalous violations"设置基准之外的网络流生成违反情况。 | Enabled |
| Runtime | 未授权的进程执行 | 为 Kubernetes 部署中容器规格未明确允许的任何进程执行生成违反情况。 | Enabled |
