红帽全球峰会发行注记
Red Hat Advanced Cluster Security for Kubernetes 发行版本的主要新功能及变化信息
摘要
第 1 章 Red Hat Advanced Cluster Security for Kubernetes 4.7
Red Hat Advanced Cluster Security for Kubernetes (RHACS)是一个企业级的、Kubernetes 原生容器安全解决方案,可在应用程序生命周期的构建、部署和运行时阶段保护您的关键应用程序。Red Hat Advanced Cluster Security for Kubernetes 部署到您的基础架构中,并与您的 DevOps 工具和工作流集成。此集成提供更好的安全性和合规性,使 DevOps 和 InfoSec 团队能够确保安全性。
| RHACS 版本 | 发布于 |
|---|---|
|
| 2025 年 3 月 17 日 |
|
| 2025 年 3 月 31 日 |
|
| 2025 年 4 月 15 日 |
|
| 2025 年 5 月 15 日 |
1.1. 关于版本 4.7.0
RHACS 4.7 包括以下新功能、改进和更新:
- 外部集成
- 文档
- 网络
- 平台
- policy
- 漏洞管理
1.2. 新功能
此版本对以下方面进行了改进:
1.2.1. 扫描 GitHub Container Registry 中的容器镜像
使用 RHACS 4.7,您可以与 GitHub Container Registry (GHCR)集成,以扫描存储在 ghcr.io 中的容器镜像。RHACS 现在包含一个默认集成,它支持公共和私有 GHCR 实例来保护容器化的工作负载。
如需更多信息,请参阅 手动配置 GitHub Container Registry。
1.2.2. 增强了 OpenShift Container Platform 组件 CVE 的可见性
RHACS 4.7 引入了改进的 OpenShift Container Platform 组件常见漏洞和暴露(CVE)的可见性。现在,您可以单独查看这些 CVE 来评估和管理安全风险。
要查看平台 CVE,请点击 RHACS 门户中的 Vulnerability Management → Results,然后点击 Platform 选项卡。
1.2.3. 使用 Microsoft Entra ID 进行机器到机器的身份验证
在 RHACS 4.7 中,在使用 Microsoft Entra ID (以前称为 Azure AD)作为您企业的 OpenID Connect (OIDC)身份提供程序时,您可以使用简短的 RHACS Central 令牌启用机器到机器验证。您可以使用 RHACS Central 的访问令牌交换 ID 令牌。Microsoft Entra ID 向应用程序的服务主体发出这些 ID 令牌,然后使用 RHACS 访问令牌安全地向 RHACS API 进行身份验证。
有关如何交换身份令牌的更多信息,请参阅更改身份令牌。
有关如何使用 Azure Entra ID 服务主体用于使用 RHACS 进行机器验证的更多信息,请参阅 为机器 使用 Azure Entra ID 服务主体来使用 RHACS 进行机器 身份验证。
1.2.4. 在 Violations 页面中直接查看违反状态
使用 RHACS 4.7,您可以在 Violations 页面中直接看到违反状态,以便您可以快速确定违反情况是否仍然活跃。这简化了自动化工作流,如创建 JIRA 票据并将其发送到不定期使用 RHACS 的所有者。
通过遵循票据中的链接,所有者可以立即看到违反情况是否仍然相关,从而减少不必要的延迟或取消优先处理的风险。此外,该页面提供了违反情况的完整上下文,并确保所有相关的详细信息都立即可用。
1.2.5. 使用 EPSS 集成确定 CVE 的优先顺序
RHACS 4.7 引入了与 Exploit Prediction Scoring System (EPSS)的集成,它是一种数据驱动的模型,用于估算被利用的软件漏洞的可能性。
除了严重性和常见漏洞评分系统(CVSS)分数外,现在还会为检测到的通用漏洞和风险(CVE)显示来自 0%-100% 的 EPSS 概率分数。您可以使用 EPSS 分数来更好地优先选择 CVE 漏洞的补救,并增强了您的安全策略。
如需更多信息,请参阅 优先级漏洞。
1.2.6. 增强了网络图中对外部 IP 的可见性
使用 RHACS 4.7,您可以更好地了解网络图中外部实体后面的外部 IP。
视觉化外部实体只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
此功能增强可帮助您识别部署与之通信的特定 IP 地址,并可让您更好地了解外部交互和潜在风险。
如需更多信息,请参阅 视觉化外部实体。
1.2.7. 增强的 roxctl netpol generate 命令的选项
在 RHACS 4.7 中,roxctl netpol generate 命令会自动检测何时需要 DNS 连接并相应地生成它们。如果您没有指定端口,则会自动选择端口 53,但您可以使用-- dnsport 标志进行修改。除了数字外,-- dnsport 标志还接受端口名称。例如,--dnsport dns。
如果服务具有定义的名称,您可以使用端口名称来指定端口的更强大的方法。如果您是 Red Hat OpenShift 客户并使用默认 DNS 设置,您应该使用-- dnsport 标志更改默认端口,因为 OpenShift DNS pod 侦听端口 5353。
如需更多信息,请参阅 roxctl netpol generate。
1.2.8. 将漏洞发现集成到 Red Hat Developer Hub 中
在 RHACS 4.7 中,您可以使用 Backstage 插件将漏洞发现直接进入 Red Hat Developer Hub (RHDH)和其他基于上游 Backstage 项目的平台。
将漏洞发现整合到 RHDH 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
您可以将 RHACS 插件合并到开发人员环境中,并查看平台中应用程序的关键漏洞。这提供了在执行必要的补救操作前需要的信息。
如需更多信息,请参阅 Red Hat Developer Hub 中的查看安全信息。
1.2.9. 从扫描的容器镜像生成 SBOMs
使用 RHACS 4.7,您现在可以从扫描的容器镜像生成软件 Bill of Materials (SBOM)。
从扫描的容器镜像生成 SBOMs 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
这些 SBOM 可让您详细介绍应用程序中的所有软件组件、依赖项和库。RHACS 创建分析类型的 SBOM,并符合软件软件包数据交换(SPDX) 2.3 规范。
有关分析类型的 SBOMs 的更多信息,请参阅 SBOM Documents 类型 (America 的 Cyber Defense Agency 文档)。
有关如何使用 RHACS 生成 SBOM 的更多信息,请参阅从扫描的镜像生成 SBOM。
目前不支持使用委托扫描功能从安全集群分析的镜像生成 SBOM。预计即将发布的版本将支持此功能。
1.2.10. 安全集群的自动证书轮转
RHACS 4.7 为安全集群组件引入了自动证书轮转,这样可确保集群中 Sensor、Admission Controller 和 Collector 间的安全通信。Sensor 还将这些证书用于带有 Central 的安全基于证书的架构(mTLS)连接。
如需有关自动证书续订的更多信息,请参阅使用自动证书续订为安全集群保留内部证书。
1.2.11. 用于安全集群引导的集群注册 Secret
在 RHACS 4.7 中,您现在可以使用集群注册 Secret (CRS)引导安全集群并使用 Central 注册它。
集群注册 Secret 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
与之前的方法不同,CRS 将 bootstrap 凭证与操作证书分开,以便集群可以继续工作,即使 bootstrap 凭证被撤销。您可以使用 roxctl CLI 命令生成 CRS,并根据需要撤销它。
RHACS 4.7 支持 init 捆绑包和 CRS,但在以后的发行版本中,init 捆绑包将被弃用,而使用 CRS。
如需更多信息,请参阅:
1.2.12. 保护在 IBM Cloud 上运行的 Red Hat OpenShift 上的安全集群
在 RHACS 4.7 中,您现在可以保护 IBM Cloud 上的 Red Hat OpenShift,并在 IBM Cloud 上的 Red Hat OpenShift 上运行安全集群。
1.2.13. 使用 Microsoft Azure 中简短的 OIDC 凭证
在 RHACS 4.7 中,您现在可以使用简短的 OpenID Connect (OIDC)凭证。Microsoft Azure Identity Provider 提供这些凭证,您可以使用这些凭证访问 Microsoft Azure 中的服务,如 Azure Container Registry 和 Azure Sentinel。
此功能在 RHACS 4.4 版本中构建,它引进了使用来自 Amazon Web Services (AWS)和 Google Cloud Platform (GCP)云供应商的简短 OIDC 凭证,以向这些平台上托管的服务进行身份验证。
如需更多信息,请参阅 手动配置 Microsoft Azure Container Registry。
1.3. 主要的技术变化
此发行版本包含以下更改:
- 扫描程序 V4 现在使用 Red Hat VEX 文件而不是通用漏洞披露(CVE)映射在官方红帽镜像中为非 RPM 内容提供漏洞数据。
您无法在 Compliance pod 中设置
ROX_NODE_INDEX_CONTAINER_API环境变量。节点扫描程序永远不会使用此变量,因为节点扫描程序永远不会连接到 Red Hat Container Catalog。要在节点继续与 Scanner V2 并行扫描时,使用 Scanner V4 启用节点扫描,请将变量 ROX_NODE_INDEX_ENABLED 变量从布尔值设置更新为一个功能标记。此更改可确保 RHACS 门户可以通过 Central API 访问设置。
默认情况下,带有 Scanner V4 的 Central 会优先选择 Scanner V4 扫描,而 StackRox Scanner V2 在没有任何更改的情况下仍然可以正常工作。您可以手动启用或禁用 Scanner V4 和 StackRox Scanner V2 进行节点扫描,而不影响镜像扫描。
如需更多信息,请参阅 漏洞管理概述。
stackrox.ioContent Delivery Network (CDN)已从 CloudFlare 移到 Akamai。在配置防火墙规则时,请使用主机名而不是 IP 地址。如果您之前允许 IP 范围为stackrox.io,您必须更新这些规则。以下值与 Akamai Classless Inter-Domain Routings (CIDRs)的稳定子集关联:
-
2.16.0.0/13 -
23.0.0.0/12 -
23.32.0.0/11 -
23.192.0.0/11 -
66.198.8.0/24 -
95.100.0.0/15 -
96.7.74.0/24 -
104.117.66.0/24 -
168.143.242.0/24 -
168.143.243.0/24 -
184.24.0.0/13
-
-
现在,在 Collector 运行时配置的
collector-configConfigMap 中使用networking.externalIps.enabled设置而不是networking.externalIps.enable。您还将其定义为具有有效值ENABLED和DISABLED的 enum,默认值为DISABLED。
1.4. 文档更新
System Health dashboard 页的文档已更新,了解如何监控组件健康状况、查看管理使用情况、管理平台数据和跟踪系统状态。
如需更多信息,请参阅 分析和管理系统健康信息。
- 目前计划在 RHACS 4.9 中弃用 Compliance 1.0。
1.5. 弃用和删除的功能
早期版本中的一些功能已被弃用或删除。
弃用的功能仍然包含在 RHACS 中,并且仍然被支持。但是,这个功能会在以后的发行版本中被删除,且不建议在新的部署中使用。有关已弃用和删除的主要功能的最新列表,请查看下表。表后提供了额外的删除或已弃用功能。
在下表中,被标记为以下状态的功能:
- GA: 正式发行 (GA)
- TP: 技术预览
- DEP:弃用
- REM: 删除
- NA:不适用
| 功能 | RHACS 4.5 | RHACS 4.6 | RHACS 4.7 |
|---|---|---|---|
| Red Hat OpenShift Cluster Manager[1]的 API 令牌身份验证 | GA | DEP | DEP |
|
| DEP | DEP | DEP |
| Google Container Registry 集成[2] | GA | DEP | DEP |
| 内核支持软件包和驱动程序下载功能 [3] | DEP | DEP | DEP |
| Istio 漏洞的报告 | DEP | DEP | DEP |
|
| DEP | DEP | REM |
| StackRox Scanner | GA | DEP | DEP |
|
| DEP | DEP | DEP |
|
| DEP | DEP | DEP |
|
| DEP | DEP | DEP |
|
| DEP | DEP | DEP |
|
| DEP | DEP | DEP |
| 漏洞管理(1.0)菜单项[7] | DEP | DEP | DEP |
| 漏洞报告创建器权限 | DEP | DEP | DEP |
| OpenSUSE Leap 15.0 和 15.1[8]的扫描程序 V4 支持 | GA | DEP | REM |
- API 令牌身份验证已弃用。对应的云源集成现在使用服务帐户进行身份验证。
Google Container Registry 集成已弃用,以响应 Container Registry 的弃用。您可以使用 Artifact Registry 作为 registry 替换,Scanner V4 作为扫描程序替换。
如需更多信息,请参阅 来自 Container Registry (Google Cloud 文档)的转换。
- 内核支持软件包和驱动程序下载功能已弃用。
-
rhacs-collector-slim*镜像已弃用,并在 RHACS 4.7.0 中删除。用于包含内核模块和 eBPF 探测的 RHACS-collector*镜像,但 RHACS 不再需要这些项目。rhacs-collector*和rhacs-collector-slim*镜像现在可以正常工作。 -
功能标志控制此 API 对象,您可以使用
ROX_VULN_MGMT_LEGACY_SNOOZE环境变量启用或禁用此 API 对象。 在对
v1/nodecves/suppress、v1/clustercves/suppress的 JSON 请求中指定持续时间的格式,v1/imagecves/suppress已改为 ProtoJSON 格式。仅支持数字值,代表带有 optional fractional seconds 代表纳秒的精度,后接s后缀。例如,
0.300s、-5400s或9900s。以前的有效时间单位是 ,us,,,ms,m, 和h不再被支持。- Vulnerability Management → Dashboard 视图已弃用,计划在以后的发行版本中删除。您可以使用用户工作负载 漏洞、Exception 管理、平台漏洞和 节点 CVE 视图作为替代方案。
- 对 openSUSE Leap 15.0 和 15.1 的扫描程序 V4 支持已弃用,并在 RHACS 4.7.0 中删除。
1.6. 程序错误修复版本 4.7.0
发行日期 : 2025 年 3 月 3 日
-
在此次更新之前,报告仍处于
DOWNLOAD状态,即使在下载后也是如此。这个问题现已解决。
在此次更新之前,日志会重复显示以下出错信息:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow [Throttled] Could not determine network namespace: No such file or directory
[Throttled] Could not determine network namespace: No such file or directory当系统在遇到 Zombie 进程时报告错误时会出现这个问题。有了这个更新,系统现在特别识别 Zombie 进程,并将消息级别调整为不太严格的分类。但是,如果 Zombie 进程的检测超过特定阈值,则系统仍然可以触发错误,有助于识别出现故障的工作负载。
在此次更新之前,Central 日志不会被轮转,这会导致 RHACS 的日志文件无限期增长,并最终占用整个节点内存。出现这个问题的原因是,
/var/log/stackrox使用emptyDir卷挂载,这不会在 pod 重启后保留,且没有内置的日志轮转。在这个版本中,日志会被删除,重启 Central pod 时重新创建
emptyDir卷。引入了一个新的日志大小限制,以防止过量内存用量,并确保 Central 日志不会过载节点。
在此次更新之前,Central 可能会过滤出所选
storage.IndexReport消息,代表因为缺少时间戳的 Red Hat Enterprise Linux CoreOS (RHCOS)节点上的 RPM 软件包状态。这会导致在 RHACS 4.6.0 和 4.6.1 中出现问题,当使用 Scanner V4 测试 RHCOS 节点扫描的技术预览功能。在这个版本中,Central 中的过滤器逻辑已被调整,以确保随着时间正确地处理
IndexReport消息。
- 在此次更新之前,RHACS 门户会错误地验证 Slack Webhook URL,并因为严格的正则表达式规则阻止了 Mattermost 集成。在这个版本中,正则表达式检查已被删除,以允许更灵活的 URL 格式。
1.7. 关于发行版本 4.7.1
发布日期:25 年 3 月 31 日
此 RHACS 发行版本包括以下程序错误修复:
- 修复了 Scanner V4 在禁用 TLS 验证的集成中执行 TLS 验证的错误。
此发行版本还解决了以下安全漏洞:
-
CVE-2025-22869 Flaw in the
golang.org/x/crypto/ssh软件包。 - CVE-2025-27144 Go JOSE 的解析易受拒绝服务的影响。
1.8. 关于版本 4.7.2
发布日期:25 年 4 月 15 日
此 RHACS 发行版本包含以下程序错误修复:
- 修复了验证多签名镜像因为错误处理失败的问题。
它还解决了以下安全漏洞:
-
CVE-2024-21536 Denial of Service vulnerability in the
http-proxy-middleware软件包。 -
CVE-2025-30204 Excessive 内存分配,在
golang-jwt软件包中的标头解析过程中。 -
CVE-2024-57083 Denial of Service vulnerability in the
redoc软件包。
1.9. 关于发行版本 4.7.3
发布日期 : 2025 年 5 月 15 日
此 RHACS 发行版本包括以下程序错误修复:
- 修复了在没有全局访问范围的情况下批准全局异常请求的问题,可能会影响您无法访问的集群。
- 修复了在电子邮件通知程序设置中禁用 TLS 证书验证的问题,即使您选择了该选项,也不会跳过 TLS 验证。
-
修复了来自 Central 的 API 响应在成功请求时不包括
Content-LengthHTTP 响应标头的问题,这可能会影响您依赖此标头的集成。
- 修复了为部署配置管理中报告的失败策略数量不正确的问题。
- 在此次更新之前,基于长期运行的 GraphQL 请求会超时。在这个版本中,基于 GraphQL 的查询的默认客户端超时已从 60 秒增加到 180 秒,以避免长时间运行的请求超时。
1.10. 镜像版本
您可以手动拉取、重新标记并推送 Red Hat Advanced Cluster Security for Kubernetes (RHACS)镜像推送到 registry。当前版本包括以下镜像:
| Image | 描述 | 当前版本 |
|---|---|---|
| Main |
包括 Central、Sensor、Admission 控制器和 Compliance 组件。还包括在持续集成(CI)系统中使用的 |
|
| Central DB | 为 Central 提供数据库存储的 PostgreSQL 实例。 |
|
| 扫描程序 | 扫描镜像和节点。 |
|
| 扫描程序数据库(Scanner DB) | 存储镜像扫描结果和安全漏洞定义。 |
|
| scanner V4 | 扫描镜像。 |
|
| Scanner V4 DB | 存储 Scanner V4 的镜像扫描结果和漏洞定义。 |
|
| Collector | 收集 Kubernetes 或 OpenShift Container Platform 集群中的运行时活动。 |
|
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}