7.3. 关于网络图中的网络基础


在 RHACS 中,您可以使用网络基础线来最小化您的风险。它是保持基础架构安全性的主动方法。RHACS 首先发现现有的网络流并创建一个基准,然后将此基准之外的网络流视为异常。

安装 RHACS 时,没有默认的网络基准。当 RHACS 发现网络流时,它会创建一个基准,然后它会将所有发现的网络流添加到其中,遵循以下准则:

  • 当 RHACS 发现新的网络活动时,它会将该网络流添加到网络基准中。
  • 网络流不会显示为异常流,也不会触发任何违反情况。

在发现阶段后,会出现以下操作:

  • RHACS 停止将网络流添加到网络基准。
  • 不在网络基准中的新网络流显示为异常流,但它们不会触发任何违反情况。

7.3.1. 从网络图查看网络基准

您可以从网络图形视图中查看网络基准。

流程

  1. Namespaces 列表,并使用 search 字段查找命名空间,或选择单独的命名空间。
  2. 单击 Deployments 列表,并使用搜索字段来查找部署,或者选择要在网络图中显示的单个部署。
  3. 在网络图中,点部署以查看信息面板。
  4. 选择 Baseline 选项卡。根据实体名称字段使用过滤器,以进一步限制显示的流。
  5. 可选: 您可以通过执行以下操作之一将基准流标记为异常:

    • 选择单个实体。点 overflow 菜单 kebab ,然后选择 Mark as anomalous
    • 选择多个实体,然后单击 Bulk actions,然后选择 Mark as aomalous
  6. 可选:选中用于排除端口和协议的框。
  7. 可选: 要将基准保存为网络策略 YAML 文件,请点 Download baseline 作为网络策略

7.3.2. 从网络图下载网络基准

您可以从网络图形视图下载网络基准作为 YAML 文件。

流程

  1. 在 RHACS 门户中,进入 Network Graph
  2. Namespaces 列表,并使用 search 字段查找命名空间,或选择单独的命名空间。
  3. 单击 Deployments 列表,并使用搜索字段来查找部署,或者选择要在网络图中显示的单个部署。
  4. 在网络图中,点部署以查看信息面板。
  5. Baseline 选项卡列出了基准流。根据实体名称字段使用过滤器,以进一步限制流列表。
  6. 可选:选中用于排除端口和协议的框。
  7. Download baseline 作为网络策略

7.3.3. 配置网络基础时间帧

您可以使用 ROX_NETWORK_BASELINE_OBSERVATION_PERIODROX_BASELINE_GENERATION_DURATION 环境变量来配置观察周期和网络基准生成持续时间。

流程

  1. 运行以下命令,设置 ROX_NETWORK_BASELINE_OBSERVATION_PERIOD 环境变量:

    $ oc -n stackrox set env deploy/central \1
      ROX_NETWORK_BASELINE_OBSERVATION_PERIOD=<value> 2
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    2
    值必须是时间单位,例如 :300ms-1.5h2h45m。有效时间单位是 nsus 或 mtc smssmh
  2. 运行以下命令设置 ROX_BASELINE_GENERATION_DURATION 环境变量:

    $ oc -n stackrox set env deploy/central \1
      ROX_BASELINE_GENERATION_DURATION=<value> 2
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    2
    值必须是时间单位,例如 :300ms-1.5h2h45m。有效时间单位是 nsus 或 mtc smssmh

7.3.4. 在网络图中的基准违反情况启用警报

您可以将 RHACS 配置为检测异常网络流,并为不在基线的流量触发违反情况。这可帮助您确定网络是否包含不需要的流量,然后再使用网络策略阻止流量。

流程

  1. Namespaces 列表,并使用 search 字段查找命名空间,或选择单独的命名空间。
  2. 单击 Deployments 列表,并使用搜索字段来查找部署,或者选择要在网络图中显示的单个部署。
  3. 在网络图中,点部署以查看信息面板。
  4. Baseline 选项卡中,您可以查看基准流。根据实体名称字段使用过滤器,以进一步限制显示的流。
  5. 基准违反选项上切换 Alert

    • 在设置了 Alert on baseline violations 选项后,异常网络流会触发违反情况。
    • 您可以再次切换 Alert on baseline violations 选项,以停止接收异常网络流的冲突。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.