红帽全球峰会7.3. 中性安全策略
下表列出了 Red Hat Advanced Cluster Security for Kubernetes 中具有中等严重性的默认安全策略。策略按照生命周期阶段进行组织。
| 生命周期阶段 | 名称 | Description | 状态 |
|---|---|---|---|
| Build | Docker CIS 4.4:确保镜像被扫描并重新构建,使其包含安全补丁 | 当镜像没有被扫描并重新构建来包括安全补丁时的警报。扫描镜像通常要查找漏洞,重新构建镜像使其包含安全补丁,然后实例化镜像的容器。 | Disabled |
| 部署 | 30 天扫描期限 | 当部署在 30 天内没有扫描时发出警报。 | Enabled |
| 部署 | 添加了 CAP_SYS_ADMIN 功能 | 当部署包含使用 CAP_SYS_ADMIN 扩展的容器时发出警报。 | Enabled |
| 部署 | 使用读写根文件系统的容器 | 当部署包含具有读写根文件系统的容器时发出警报。 | Disabled |
| 部署 | 允许权限升级的容器 | 当容器可能会以意外的特权运行时发出警报,从而造成安全风险。当容器进程具有超过其父进程超过其父进程时,可能会发生这种情况。容器可以使用意外的特权运行。 | Enabled |
| 部署 | 部署应该至少有一个 Ingress 网络策略 | 如果部署缺少 Ingress 网络策略,则发出警报。 | Disabled |
| 部署 | 使用外部公开端点部署 | 检测部署是否有任何通过任何方法进行外部公开的服务。具有集群外公开的服务的部署会带来更高遭受入侵的风险,因为它们可以在集群外访问。此策略提供了一个警报,以便您可以验证在集群外的服务暴露。如果服务只需要集群内通信,请使用 service type ClusterIP。 | Disabled |
| 部署 | Docker CIS 5.1:确保如果适用,启用了 AppArmor 配置集 | 使用 AppArmor 通过强制一个称为 AppArmor 配置集的安全策略来保护 Linux 操作系统和应用程序。Apparmor 是一个 Linux 应用程序安全系统,默认在某些 Linux 发行版上提供,如 Debian 和 Ubuntu。 | Enabled |
| 部署 | Docker CIS 5.15:确保主机的进程命名空间没有共享 | 在容器和主机之间创建进程级别的隔离。进程 ID (PID)命名空间隔离进程 ID 空间,这意味着不同 PID 命名空间中的进程可以具有相同的 PID。 | Enabled |
| 部署 | Docker CIS 5.16:确保主机的 IPC 命名空间没有共享 | 当主机上的 IPC 命名空间与容器共享时发出警报。IPC (POSIX/SysV IPC)命名空间分隔命名的共享内存段、semaphores 和消息队列。 | Enabled |
| 部署 | Docker CIS 5.19 :确保挂载传播模式没有启用 | 启用挂载传播模式时的警报。启用挂载传播模式时,您可以使用双向、主机到容器以及 None 模式挂载容器卷。除非明确需要,否则不要使用双向挂载传播模式。 | Enabled |
| 部署 | Docker CIS 5.21 :确保默认 seccomp 配置集没有被禁用 | 当 seccomp 配置集被禁用时发出警报。seccomp 配置集使用允许列表来允许常见的系统调用和阻止所有其他系统调用。 | Disabled |
| 部署 | Docker CIS 5.7:确保特权端口没有在容器中映射 | 当特权端口在容器中映射时发出警报。低于 1024 的 TCP/IP 端口号是特权端口。出于安全原因,普通用户和进程无法使用它们,但容器可能会将其端口映射到特权端口。 | Enabled |
| 部署 | Docker CIS 5.9 和 5.20 :确保主机的网络命名空间没有共享 | 共享主机的网络命名空间时的警报。启用 HostNetwork 时,容器不会放置在单独的网络堆栈中,容器的网络不会被容器化。因此,容器可以完全访问主机的网络接口,并启用了共享 UTS 命名空间。UTS 命名空间提供主机名和 NIS 域名之间的隔离,并且它设置主机名和域,这些主机名和域对在该命名空间中运行进程可见。在容器内运行的进程通常需要知道主机名或域名,因此 UTS 命名空间不应与主机共享。 | Enabled |
| 部署 | 没有扫描的镜像 | 当部署包含未扫描的镜像时发出警报。 | Disabled |
| Runtime | Kubernetes Actions: 端口转发到 Pod | Kubernetes API 收到端口转发请求时的警报。 | Enabled |
| 部署 | 挂载容器运行时套接字 | 当部署在容器运行时套接字上挂载了卷挂载时,会发出警报。 | Enabled |
| 部署 | 挂载敏感主机目录 | 当部署挂载敏感主机目录时发出警报。 | Enabled |
| 部署 | 没有指定资源请求或限制 | 当部署包含没有资源请求和限值的容器时发出警报。 | Enabled |
| 部署 | Pod 服务帐户令牌自动挂载 | 通过将默认服务帐户令牌挂载到应用需要与 Kubernetes API 交互的 pod,以保护 pod 默认服务帐户令牌受到攻击。 | Enabled |
| 部署 | 特权容器 | 当部署包含以特权模式运行的容器时发出警报。 | Enabled |
| Runtime | crontab 执行 | 检测 crontab 调度的作业编辑器的使用。 | Enabled |
| Runtime | 检测到 netcat 执行 | 检测 netcat 在容器中运行的时间。 | Enabled |
| Runtime | OpenShift: Advanced Cluster Security Central Admin Secret Accessed | 当某人访问 Red Hat Advanced Cluster Security Central secret 时发出警报。 | Enabled |
| Runtime | OpenShift:由 Impersonated User 访问的 Kubernetes Secret | 当某人模拟用户访问集群中的 secret 时发出警报。 | Enabled |
| Runtime | 远程文件复制二进制执行 | 当部署运行远程文件复制工具时发出警报。 | Enabled |
