主页
产品
Red Hat Advanced Cluster Security for Kubernetes
4.3
操作
第 3 章使用 Compliance Operator

第 3 章使用 Compliance Operator

3.1. 使用带有 Red Hat Advanced Cluster Security for Kubernetes 的 Compliance Operator
复制链接

您可以将 RHACS 配置为使用 Compliance Operator 进行 OpenShift Container Platform 集群的合规性报告和补救。Compliance Operator 的结果在 RHACS Compliance Dashboard 中报告。

Compliance Operator 自动审查许多技术实施，并将其与行业标准、基准和基准的某些方面进行比较。

Compliance Operator 不是一个审核员(auditor)。为了遵守这些各种标准或认证，您必须与授权的审计员参与，如合格的安全评估者(QSA)、联合授权局(JAB)或其他行业认可监管机构来评估您的环境。

Compliance Operator 根据与此类标准相关的通用信息和实践提出建议，并协助补救，但实际合规是您的责任。您需要与授权的审核员合作，以达到符合标准的要求。

有关最新更新，请参阅 Compliance Operator 发行注记。

3.1.1. 安装 Compliance Operator
复制链接

使用 Operator Hub 安装 Compliance Operator。

流程

通过执行以下步骤安装 Operator：

在 Web 控制台中进入 Operators OperatorHub 页面。
在 Filter by keyword 框中输入 Compliance operator 以查找 Compliance Operator。
选择 Compliance Operator 查看详情页面。
阅读 Operator 的信息，然后点 Install。

3.1.2. 配置 ScanSettingBinding 对象
复制链接

在 openshift-compliance 命名空间中创建 ScanSettingBinding 对象，以使用 cis 和 cis-node 配置集扫描集群。

注意

本例使用 cis 和 cis-node 配置集，但 OpenShift Container Platform 提供了额外的配置集。如需更多信息，请参阅"添加资源"部分中的"了解 Compliance Operator"。

流程

选择以下选项之一：

使用 CLI 创建 YAML 文件和对象。例如：

使用以下文本创建名为 sscan.yaml 的文件：

apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSettingBinding
metadata:
  name: cis-compliance
profiles:
  - name: ocp4-cis-node
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
  - name: ocp4-cis
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
settingsRef:
  name: default
  kind: ScanSetting
  apiGroup: compliance.openshift.io/v1alpha1

apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSettingBinding
metadata:
  name: cis-compliance
profiles:
  - name: ocp4-cis-node
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
  - name: ocp4-cis
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
settingsRef:
  name: default
  kind: ScanSetting
  apiGroup: compliance.openshift.io/v1alpha1

Copy to Clipboard

Toggle word wrap

运行以下命令来创建 ScanSettingBinding 对象：

oc create -f sscan.yaml -n openshift-compliance

$ oc create -f sscan.yaml -n openshift-compliance

Copy to Clipboard

Toggle word wrap

如果成功，会显示以下信息：

scansettingbinding.compliance.openshift.io/cis-compliance created

$ scansettingbinding.compliance.openshift.io/cis-compliance created

Copy to Clipboard

Toggle word wrap

通过执行以下步骤来创建对象：
1. 将活动项目更改为 openshift-compliance。
2. 点 + 打开 Import YAML 页面。
3. 粘贴上例中的 YAML，然后点 Create。

其他资源

了解 Compliance Operator
OpenShift Container Platform 中的 Compliance Operator 扫描

可选：如果在安装 RHACS 后安装 Compliance Operator，请通过执行以下选项之一在安全集群中重启 Sensor：

运行以下命令：

oc -n stackrox delete pod -lapp=sensor

$ oc -n stackrox delete pod -lapp=sensor

Copy to Clipboard

Toggle word wrap

在 OpenShift Container Platform Web 控制台中执行以下步骤：
1. 将活动项目更改为 stackrox。
2. 导航到 Workloads Pods。
3. 找到名称以 sensor- 开头的 pod，然后点 Actions Delete Pod。

验证

执行这些步骤后，在 RHACS 中运行合规性扫描，并确保显示 ocp4-cis 和 ocp4-cis-node 结果。如需更多信息，请参阅"添加资源"部分中的"运行合规性扫描"。

其他资源

在 RHACS 中运行合规性扫描

返回顶部

第 3 章使用 Compliance Operator

3.1. 使用带有 Red Hat Advanced Cluster Security for Kubernetes 的 Compliance Operator
复制链接

3.1.1. 安装 Compliance Operator
复制链接

3.1.2. 配置 ScanSettingBinding 对象
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 3 章 使用 Compliance Operator

3.1. 使用带有 Red Hat Advanced Cluster Security for Kubernetes 的 Compliance Operator复制链接链接已复制到粘贴板!

3.1.1. 安装 Compliance Operator复制链接链接已复制到粘贴板!

3.1.2. 配置 ScanSettingBinding 对象复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 3 章使用 Compliance Operator

3.1. 使用带有 Red Hat Advanced Cluster Security for Kubernetes 的 Compliance Operator
复制链接

3.1.1. 安装 Compliance Operator
复制链接

3.1.2. 配置 ScanSettingBinding 对象
复制链接