红帽全球峰会7.2. 高严重性安全策略
下表列出了 Red Hat Advanced Cluster Security for Kubernetes 中具有高严重性的默认安全策略。策略按照生命周期阶段进行组织。
| 生命周期阶段 | 名称 | Description | 状态 |
|---|---|---|---|
| 构建或部署 | 可修复的通用漏洞评分系统(CVSS)>= 7 | 当部署具有可修复的、CVSS 最少为 7 的安全漏洞时发出警报。但是,红帽建议您使用通用漏洞和暴露(CVE)严重性而不是 CVSS 分数创建策略。 | Disabled |
| 构建或部署 | 可修复的严重性至少为重要 | 当部署具有可修复漏洞的部署时,警报的严重性等级至少为 Important (重要)。 | Enabled |
| 构建或部署 | 快速重置:HTTP/2 协议中拒绝服务漏洞 |
在带有镜像(包含与 HTTP/2 服务器的 Denial Service (DoS)漏洞相关的组件)的部署中的警报。这个问题解决了在 HTTP/2 中处理多路流的缺陷。客户端可以快速创建请求并立即重置请求,从而为服务器创建额外的工作,同时避免达到任何服务器端的限制,从而导致拒绝服务攻击。要使用此策略,请考虑克隆策略并在启用前添加可修复的策略标准。 | Disabled |
| 构建或部署 | 在镜像中公开安全 Shell (ssh)端口 | 当部署公开端口 22 时发出警报,这通常为 SSH 访问保留。 | Enabled |
| 部署 | 紧急部署注解 | 当部署使用紧急注解时,如 "admission.stackrox.io/break-glass":"ticket-1234" to circumvent StackRox Admission 控制器检查。 | Enabled |
| 部署 | 环境变量包含 Secret | 当部署具有包含 'SECRET' 的环境变量时发出警报。 | Enabled |
| 部署 | 可修复 CVSS >= 6 和特权 | 当部署以特权模式运行,带有至少 6 CVSS 的可修复漏洞时发出警报。但是,红帽建议您使用 CVE 严重性而不是 CVSS 分数创建策略。 | 在版本 3.72.0 及更高版本中默认禁用 |
| 部署 | 带有重要和关键修复的 CVE 的特权容器 | 当以特权模式运行的容器具有重要或关键修复漏洞时,会发出警报。 | Enabled |
| 部署 | Secret 挂载为环境变量 | 当部署具有作为环境变量挂载的 Kubernetes secret 时发出警报。 | Disabled |
| 部署 | Secure Shell (ssh)端口公开 | 当部署公开端口 22 时发出警报,这通常为 SSH 访问保留。 | Enabled |
| Runtime | Cryptocurrency Mining Process Execution | 生成 crypto-curcy mining 进程。 | Enabled |
| Runtime | iptables 执行 | 检测某个人运行 iptables,这是在容器中管理网络状态的已弃用方法。 | Enabled |
| Runtime | Kubernetes Actions: Exec into Pod | 当 Kubernetes API 收到一个容器中运行命令的请求时发出警报。 | Enabled |
| Runtime | Linux 组添加执行 | 检测某人运行 addgroup 或 groupadd 二进制文件来添加 Linux 组。 | Enabled |
| Runtime | Linux 用户添加执行 | 检测某人运行 useradd 或 adduser 二进制文件来添加 Linux 用户。 | Enabled |
| Runtime | Login Binaries | 指明某人尝试登录时。 | Disabled |
| Runtime | 网络管理执行 | 检测某人运行可操作网络配置和管理的二进制文件。 | Enabled |
| Runtime | nmap Execution | 当某个人在运行时启动容器中的 nmap 进程时发出警报。 | Enabled |
| Runtime | OpenShift: Kubeadmin Secret Accessed | 当某人访问 kubeadmin 机密时发出警报。 | Enabled |
| Runtime | 密码 Binaries | 指明某人尝试更改密码的时间。 | Disabled |
| Runtime | 以集群 Kubelet 端点为目标的进程 | 检测 healthz、kubelet API 或 heapster 端点的滥用。 | Enabled |
| Runtime | 以集群 Kubernetes Docker Stats 端点为目标的进程 | 检测 Kubernetes docker stats 端点的滥用。 | Enabled |
| Runtime | 以 Kubernetes 服务端点为目标的进程 | 检测 Kubernetes Service API 端点的滥用。 | Enabled |
| Runtime | UID 为 0 的进程 | 当部署包含 UID 0 运行的进程时发出警报。 | Disabled |
| Runtime | Secure Shell Server (sshd)执行 | 检测运行 SSH 守护进程的容器。 | Enabled |
| Runtime | setuid 进程 | 使用 setuid 二进制文件,允许人们使用升级的特权运行某些程序。 | Disabled |
| Runtime | 影子文件修改 | 指明某人试图修改影子文件。 | Disabled |
| Runtime | Java 应用程序 shell Spawned | 检测何时将 shell (如 bash、csh、sh 或 zsh)作为 Java 应用程序的子进程运行。 | Enabled |
| Runtime | 未授权的网络流 | 为任何位于"alert on anomal anomalous violations"设置基准之外的网络流生成违反情况。 | Enabled |
| Runtime | 未授权的进程执行 | 为 Kubernetes 部署中容器规格未明确允许的任何进程执行生成违反情况。 | Enabled |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}