红帽全球峰会4.6. 使用进程基准
您可以使用精简基础架构的安全性流程来最小化风险。使用这个方法,Red Hat Advanced Cluster Security for Kubernetes 首先发现现有的进程并创建基准。然后,它以默认的 deny-all 模式运行,只允许基准中列出的进程运行。
进程基准
安装 Red Hat Advanced Cluster Security for Kubernetes 时,没有默认的进程基准。当 Red Hat Advanced Cluster Security for Kubernetes 发现部署时,它会为部署中的每个容器类型创建一个进程基准。然后,它会将所有发现的进程添加到自己的进程基线中。
进程基准状态
在进程发现阶段,所有基准都处于解锁的状态。
处于 解锁 的状态:
- 当 Red Hat Advanced Cluster Security for Kubernetes 发现新进程时,它会将该进程添加到流程基线中。
- 进程没有以风险的形式显示,且不会触发任何违反情况。
当 Red Hat Advanced Cluster Security for Kubernetes 收到部署中容器的第一个进程指示符后,它会完成进程发现阶段。此时:
- Red Hat Advanced Cluster Security for Kubernetes 会停止在进程基准中添加进程。
- 进程基准中没有的新进程显示为风险,但它们不会触发任何违反情况。
要生成违反情况,您必须手动锁定进程基准。
处于 锁定状态 :
- Red Hat Advanced Cluster Security for Kubernetes 会停止在进程基准中添加进程。
- 不在进程基准中的新进程会触发违反情况。
独立于锁定或解锁的基准状态,您可以始终从基准中添加或删除进程。
对于部署,如果每个 pod 有多个容器,Red Hat Advanced Cluster Security for Kubernetes 会为每个容器类型创建一个进程基准。对于这样的部署,如果一些基准被锁定,并且有些基准被解锁,则该部署的基准状态会显示为 Mixed。
4.6.1. 查看进程基准
您可以从 风险 视图中查看进程基准。
流程
- 在 RHACS 门户中,从导航菜单中选择 Risk。
- 在默认 风险 视图中从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment details 面板中,选择 Process Discovery 选项卡。
- 进程基准在 Spec Container Baselines 部分可见。
4.6.2. 在基准中添加进程
您可以将进程添加到基准中。
流程
- 在 RHACS 门户中,从导航菜单中选择 Risk。
- 在默认 风险 视图中从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment details 面板中,选择 Process Discovery 选项卡。
- 在 Running Processes 部分下,点您要添加到进程基数的进程的 Add 图标。
Add 图标仅适用于不在进程基准中的进程。
4.6.3. 从基准中删除进程
您可以从基准中删除进程。
流程
- 在 RHACS 门户中,从导航菜单中选择 Risk。
- 在默认 风险 视图中从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment details 面板中,选择 Process Discovery 选项卡。
- 在 Spec Container baselines 部分下,点您要从进程基准中删除的进程的 Remove 图标。
4.6.4. 锁定和解锁进程基准
您可以锁定基线,以为所有没有列在基线中的进程触发违规,也可以取消锁定基线来停止触发违规。
流程
- 在 RHACS 门户中,从导航菜单中选择 Risk。
- 在默认 风险 视图中从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment details 面板中,选择 Process Discovery 选项卡。
在 Spec Container baselines 部分下:
- 点 Lock 图标为不在基准中的进程触发违反情况。
- 点 Unlock 图标停止为不在基准中的进程触发违反情况。
