第 7 章 默认安全策略
Red Hat Advanced Cluster Security for Kubernetes 中的默认安全策略提供了广泛的覆盖范围来识别安全问题,并确保您的环境中的安全性最佳实践。通过配置这些策略,您可以自动防止环境中的高风险服务部署,并响应运行时安全事件。
Red Hat Advanced Cluster Security for Kubernetes 中策略的严重性级别与红帽产品安全团队分配的严重性级别不同。
Red Hat Advanced Cluster Security for Kubernetes 策略严重性级别为 Critical, High, Medium, 和 Low。红帽产品安全团队将漏洞严重性等级评级为 Critical、Important、Moderate 和 Low。
虽然策略的严重性级别和红帽产品安全团队可能会进行交互,但必须区分它们。有关红帽产品安全严重性等级的更多信息,请参阅 严重性等级。
7.1. 关键严重性安全策略
下表列出了 Red Hat Advanced Cluster Security for Kubernetes 中具有关键严重性的默认安全策略。策略按照生命周期阶段进行组织。
| 生命周期阶段 | 名称 | Description | 状态 |
|---|---|---|---|
| 构建或部署 | Apache Struts: CVE-2017-5638 | 当部署包含 CVE-2017-5638 Apache Struts 漏洞的镜像时发出警报。 | Enabled |
| 构建或部署 | Log4Shell: log4j Remote Code Execution vulnerability | 当部署包含 CVE-2021-44228 和 CVE-2021-45046 Log4Shell 漏洞的镜像时发出警报。版本 2.0-beta9 - 2.15.0 的 Apache Log4j Java 日志库中存在漏洞,不包括 2.12.2。 | Enabled |
| 构建或部署 | 快速重置:HTTP/2 协议中拒绝服务漏洞 | 在带有镜像(包含与 HTTP/2 服务器的 Denial Service (DoS)漏洞相关的组件)的部署中的警报。这个问题解决了在 HTTP/2 中处理多路流的缺陷。客户端可以快速创建请求并立即重置请求,从而为服务器创建额外的工作,同时避免达到任何服务器端的限制,从而导致拒绝服务攻击。 | Enabled |
| 构建或部署 | Spring4Shell (Spring Framework Remote Code Execution)和 Spring Cloud Function 漏洞 | 当部署包含 CVE-2022-22965 漏洞的镜像时发出警报,这会影响 Spring MVC,以及影响 Spring Cloud 的 CVE-2022-22963 漏洞。在版本 3.16、3.2.2 和不受支持的版本中,Spring Cloud 包含漏洞。Spring Framework 版本为 5.3.0 - 5.3.17、版本 5.2.0 - 5.2.19 以及旧的不支持的版本中存在漏洞。 | Enabled |
| Runtime | Privileged Container 中执行的 iptables | 特权 pod 运行 iptables 时的警报。 | Enabled |
