红帽全球峰会第 3 章 管理合规性
3.1. 管理合规性 1.0 功能
通过使用 Red Hat Advanced Cluster Security for Kubernetes,您可以评估、检查并报告容器化基础架构的合规性状态。您可以根据行业标准运行开箱即用的合规性扫描,包括:
- 用于 Docker 和 Kubernetes的 CIS Benchmarks (互联网安全中心)
- HIPAA (健康可移植性和责任法案)
- NIST 特殊发布 800-190 和 800-53 (标准与技术研究院)
- PCI DSS (支付卡行业数据安全标准)
- OpenSCAP (Open Security Content Automation Protocol):当安装 Compliance Operator 并配置为为 RHACS 提供结果时,OpenShift Container Platform 集群中的 RHACS 中可用
通过根据这些标准扫描您的环境,您可以:
- 评估您的基础架构是否符合法规合规性。
- 强化 Docker Engine 和 Kubernetes 编配器。
- 了解并管理环境的整体安全状态。
- 获取集群、命名空间和节点的合规性状态的详细视图。
3.1.1. 查看合规性仪表板
合规仪表板提供环境中所有集群、命名空间和节点的合规性标准的高级视图。
合规仪表板包括图表,并提供用于调查与合规性要求的潜在问题的选项。您可以进入单个集群、命名空间或节点的合规性扫描结果。此外,您还可以在容器化环境中生成有关合规性状态的报告。
流程
- 在 RHACS 门户中,从导航菜单中选择 Compliance (1.0)。
第一次打开 Compliance 仪表板时,您将看到一个空白仪表板。您必须运行合规性扫描来填充仪表板。
3.1.2. 运行合规性扫描
运行合规性扫描会在所有合规标准中检查整个基础架构的合规性状态。当您运行合规性扫描时,Red Hat Advanced Cluster Security for Kubernetes 会获取您的环境的数据快照。数据快照包括警报、镜像、网络策略、部署和相关基于主机的数据。Central 从集群中运行的 Sensors 收集基于主机的数据。之后,Central 从每个收集器 Pod 中运行的合规性容器收集更多数据。Compliance 容器收集有关环境的以下数据:
- Docker 守护进程、Docker 镜像和 Docker 容器的配置。
- 有关 Docker 网络的信息。
- Docker、Kubernetes 和 OpenShift Container Platform 的命令行参数和流程。
- 特定文件路径的权限。
- 核心 Kubernetes 和 OpenShift Container Platform 服务的配置文件。
数据收集完成后,Central 对数据执行检查以确定结果。您可以从合规仪表板查看结果,并根据结果生成合规性报告。
在合规性扫描中:
- Control 描述了一个行业或监管合规标准中的单行项目,审核员会评估信息系统以遵守所述标准。Red Hat Advanced Cluster Security for Kubernetes 通过完成一个或多个检查来检查符合单个控制的证据。
- 检查是在单个控制评估期间执行的单个测试。
-
有些控制关联有多个检查。如果有任何关联的检查无法进行控制,则整个控制状态将标记为
Fail。
流程
- 进入 RHACS 门户,并通过从导航菜单中选择 Compliance (1.0) 来打开合规仪表板。
可选: 默认情况下,所有标准下的信息都会在合规性结果中显示。要只查看特定标准的信息,请执行以下步骤:
- 点 Manage Standard。
- 默认情况下,选择所有标准。清除您不想显示的任何特定标准的复选框,然后单击 Save。没有选择的标准不会显示仪表板显示(包括小部件)、从仪表板访问的合规性结果表,以及使用 Export 按钮创建的 PDF 文件。但是,当以 CSV 文件导出结果时,会包括所有默认标准。
点 扫描环境。
注意扫描整个环境需要大约 2 分钟才能完成。根据环境中的集群和节点数量,这个时间可能会有所不同。
验证
- 在 RHACS 门户中,进入 Configuration Management。
- 在 CIS Kubernetes v1.5 widget 中,点 Scan。
- RHACS 显示一条消息,表示合规性扫描正在进行中。
3.1.3. 查看合规性扫描结果
运行合规性扫描后,合规仪表板会显示结果作为环境的合规性状态。您可以直接从仪表板查看合规违反情况,过滤详情视图并深入分析合规标准,以了解您的环境是否符合特定基准。本节介绍如何查看和过滤合规性扫描结果。
您可以使用快捷方式检查集群、命名空间和节点的合规性状态。在合规仪表板的顶部查找这些快捷方式。点击这些快捷方式,您可以查看合规快照,并根据集群、命名空间或节点的整体合规性生成报告。
合规性状态
| 状态 | Description |
|---|---|
|
| 合规性检查失败。 |
|
| 合规性检查通过。 |
|
| Red Hat Advanced Cluster Security for Kubernetes 会跳过检查,因为它不适用。 |
|
|
合规检查收集的数据,但 Red Hat Advanced Cluster Security for Kubernetes 无法进行 |
|
| 由于技术问题,合规检查失败。 |
3.1.3.1. 查看集群的合规性状态
您可以从合规仪表板查看所有集群或单个集群的合规性状态。
流程
查看环境中所有集群的合规性状态:
- 进入 RHACS 门户,并通过从导航菜单中选择 Compliance (1.0) 来打开合规仪表板。
- 在合规仪表板上点 Clusters。
查看环境中特定集群的合规性状态:
- 进入 RHACS 门户,并通过从导航菜单中选择 Compliance (1.0) 来打开合规仪表板。
- 在合规仪表板上,按照集群小部件查找护标准。
- 在此小部件中,点集群名称查看其合规状态。
3.1.3.2. 查看命名空间的合规性状态
您可以从合规仪表板查看所有命名空间或单个命名空间的合规性状态。
流程
查看环境中所有命名空间的合规性状态:
- 进入 RHACS 门户,并通过从导航菜单中选择 Compliance (1.0) 来打开合规仪表板。
- 点合规仪表板上的 Namespaces。
查看环境中的特定命名空间的合规性状态:
- 进入 RHACS 门户,并通过从导航菜单中选择 Compliance (1.0) 来打开合规仪表板。
- 点 Namespaces 打开命名空间详情页面。
- 在 Namespaces 表中点一个命名空间。在右侧打开一个侧面板。
- 在侧面面板中,点命名空间的名称来查看其合规状态。
3.1.3.3. 查看特定标准的合规性状态
Red Hat Advanced Cluster Security for Kubernetes 支持 NIST、PCI DSS、NIST、HIPAA、Kubernetes 和 CIS for Docker 合规性标准的 CIS。您可以查看单个合规标准的所有合规控制。
流程
- 进入 RHACS 门户,并通过从导航菜单中选择 Compliance (1.0) 来打开合规仪表板。
- 在合规仪表板上,查找 集群小部件之间的传递标准。
- 在此小部件中,点标准以查看与该标准关联的所有控件的信息。
CIS Docker 中的许多控制都引用每个 Kubernetes 节点上 Docker 引擎的配置。许多 CIS Docker 控制也是构建和使用容器的最佳实践,RHACS 具有强制实施其用途的策略。如需更多信息,请参阅"添加资源"中的"管理安全策略"。
3.1.3.4. 查看特定控制的合规性状态
您可以查看所选标准的特定控制的合规性状态。
流程
- 在 RHACS 门户中,进入 Compliance (1.0)。
- 在合规仪表板上,按照集群小部件查找护标准。
- 在此小部件中,点标准以查看与该标准关联的所有控件的信息。
- 在 Controls 表中点控制。在右侧打开一个侧面板。
- 在侧面面板中,点击控件的名称来查看其详情。
3.1.4. 过滤合规性状态
Red Hat Advanced Cluster Security for Kubernetes 搜索可让您从合规仪表板过滤不同的数据组合。要专注于集群、行业标准、传递或失败控制的子集,您可以缩小合规仪表板上可见的数据范围。
流程
- 进入 RHACS 门户,并通过从导航菜单中选择 Compliance (1.0) 来打开合规仪表板。
- 在合规仪表板上,选择 Clusters、或 Namespaces 或 Nodes 以打开详情页面。
- 在搜索栏中输入过滤条件,然后按 Enter 键。
3.1.5. 生成合规性报告
Red Hat Advanced Cluster Security for Kubernetes 可让您生成报告来跟踪环境的合规性状态。您可以使用这些报告将各种行业的合规性状态传达给其他利益相关者。
您可以生成:
- 执行报告,侧重于业务方面,并以 PDF 格式包括合规状态的图表和摘要。
- 证据报告,侧重于技术方面,并以 CSV 格式包括详细信息。
流程
- 进入 RHACS 门户,并通过从导航菜单中选择 Compliance (1.0) 来打开合规仪表板。
在合规仪表板上,单击 Export。
- 要生成执行报告,请选择 Download page 作为 PDF。
- 要生成证据报告,请选择 Download Evidence 作为 CSV。
Export 选项会出现在所有合规页面和过滤的视图中。
3.1.5.1. 证据报告
您可以以 CSV 格式从 Red Hat Advanced Cluster Security for Kubernetes 导出全面的合规相关数据作为证据报告。此证据报告包含有关合规评估的详细信息,并针对技术角色(如合规审核员、DevOps 工程师或安全专家)量身定制。
证据报告包含以下信息:
| CSV 字段 | Description |
|---|---|
| Standard(标准) | 合规性标准,如 CIS Kubernetes。 |
| 集群 | 评估的集群的名称。 |
| 命名空间 | 部署所在的命名空间或项目的名称。 |
| 对象类型 |
对象的 Kubernetes 实体类型。例如, |
| 对象名称 |
对象的名称,它是 Kubernetes 系统生成的字符串,用于唯一标识对象。例如, |
| 控制 | 控制号,它出现在合规标准中。 |
| 控制描述 | 有关合规性的描述,检查控制是否已执行。 |
| 状态 |
合规检查通过或失败。例如, |
| 证据 | 有关特定合规检查失败或传递的原因的说明。 |
| 评估时间 | 运行合规性扫描的时间和日期。 |
3.1.6. 支持的基准版本
Red Hat Advanced Cluster Security for Kubernetes 支持以下行业标准和规范框架的合规性检查:
| benchmark | 支持的版本 |
|---|---|
| 用于 Docker 和 Kubernetes 的 CIS Benchmarks (互联网安全中心) | CIS Kubernetes v1.5.0 和 CIS Docker v1.2.0 |
| HIPAA (健康可移植性和责任法案) | HIPAA 164 |
| NIST (标准与技术研究院) | NIST 特殊发布 800-190 和 800-53 Rev. 4 |
| PCI DSS (支付卡行业数据安全标准) | PCI DSS 3.2.1 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}