红帽全球峰会4.2. 从 risk 视图创建安全策略
在风险视图中评估部署的风险时,当您应用本地页面过滤时,您可以根据您使用的过滤标准创建新的安全策略。
流程
- 进入 RHACS 门户,从导航菜单中选择 Risk。
- 应用您要为其创建策略的本地页面过滤条件。
- 选择 New Policy 并填写所需字段来创建新策略。
当您根据您使用的过滤条件从 风险 视图中创建新安全策略时,并非所有标准都直接应用到新策略。
Red Hat Advanced Cluster Security for Kubernetes 将 Cluster、Namespace 和 Deployment 过滤器转换为等同的策略范围。
风险 视图中的本地页面过滤会根据以下方法组合了搜索术语:
-
将搜索术语与
OR运算符合并到同一类别内。例如,如果搜索查询是Cluster:A,B,则过滤器与集群 A或集群 B中的部署匹配。 -
将不同类别的搜索术语与
AND运算符相结合。例如,如果搜索查询是Cluster:A+Namespace:Z,则过滤器与集群 A和命名空间 Z中的部署匹配。
-
将搜索术语与
当您向策略添加多个范围时,策略会匹配来自任何范围的违反情况。
-
例如,如果您搜索
(Cluster A OR Cluster B) AND (Namespace Z),它会产生两个策略范围,(Cluster=A AND Namespace=Z)OR(Cluster=B AND Namespace=Z)。
-
例如,如果您搜索
- Red Hat Advanced Cluster Security for Kubernetes 会丢弃或修改不直接映射到策略条件并报告丢弃的过滤器。
下表列出了过滤搜索属性如何映射到策略标准:
| 搜索属性 | 策略标准 |
|---|---|
| 添加功能 | 添加功能 |
| 注解 | 不允许注解 |
| CPU 内核限制 | 容器 CPU 限制 |
| CPU 内核请求 | 容器 CPU 请求 |
| CVE | CVE |
| CVE 发布日期 | swig 丢弃 |
| CVE Snoozed | swig 丢弃 |
| CVSS | CVSS |
| 集群 | 的属性转换为范围 |
| 组件 | 镜像组件(名称) |
| 组件版本 | 镜像组件(版本) |
| Deployment | 的属性转换为范围 |
| 部署类型 | swig 丢弃 |
| Dockerfile 指令关键字 | Dockerfile 行(密钥) |
| Dockerfile 指令值 | Dockerfile 行(值) |
| drop Capabilities | swig 丢弃 |
| 环境密钥 | 环境变量(密钥) |
| 环境值 | 环境变量(值) |
| 环境变量源 | 环境变量(源) |
| 公开的节点端口 | swig 丢弃 |
| 公开服务 | swig 丢弃 |
| 公开服务端口 | swig 丢弃 |
| 公开级别 | 端口公开 |
| 外部主机名 | swig 丢弃 |
| 外部 IP | swig 丢弃 |
| 镜像 | swig 丢弃 |
| 镜像命令 | swig 丢弃 |
| 镜像创建时间 | 创建镜像后的天数 |
| 镜像条目 | swig 丢弃 |
| 镜像标签 | 禁止的镜像标签 |
| 镜像操作系统 | 镜像操作系统 |
| Image Pull Secret | swig 丢弃 |
| 镜像 Registry | 镜像 Registry |
| 镜像远程 | 镜像远程 |
| 镜像扫描时间 | 自镜像上次扫描以来的天数 |
| 镜像标签 | 镜像标签 |
| 镜像 Top CVSS | swig 丢弃 |
| 镜像用户 | swig 丢弃 |
| 镜像卷 | swig 丢弃 |
| 标签 | 的属性转换为范围 |
| 最大公开级别 | swig 丢弃 |
| 内存限制(MB) | 容器内存限制 |
| 内存请求(MB) | 容器内存请求 |
| 命名空间 | 的属性转换为范围 |
| 命名空间 ID | swig 丢弃 |
| Pod 标签 | swig 丢弃 |
| 端口 | 端口 |
| 端口协议 | 协议 |
| 优先级 | swig 丢弃 |
| Privileged | Privileged |
| Process Ancestor | Process Ancestor |
| 进程参数 | 进程参数 |
| 进程名称 | 进程名称 |
| 进程路径 | swig 丢弃 |
| 进程标签 | swig 丢弃 |
| 进程 UID | 进程 UID |
| 只读 Root 文件系统 | 只读 Root 文件系统 |
| Secret | swig 丢弃 |
| Secret 路径 | swig 丢弃 |
| 服务帐户 | swig 丢弃 |
| 服务帐户权限级别 | 最低 RBAC 权限级别 |
| 容限键 | swig 丢弃 |
| 容限值 | swig 丢弃 |
| 卷目的地 | 卷目的地 |
| 卷名称 | 卷名称 |
| 卷 ReadOnly | 可写入卷 |
| 卷源 | 卷源 |
| 卷类型 | 卷类型 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}