Ansichten:
Clusterverwaltete Richtlinien sollten die Bereitstellung und kontinuierliche rules, Ausnahmen für die Zulassungsbewertung mit exceptions und die Umschaltung für XDR-Funktionen, einschließlich Telemetrie, mit xdrEnabled umfassen. Verwenden Sie die folgenden Informationen, um Ihre Richtlinie für clusterverwaltete Richtlinien zu erstellen.

Regeln

Regeln umfassen eine Reihe von Bereitstellungs- und kontinuierlichen Regeln. Für jede Regel können Sie Folgendes angeben:
  • Typ: Regeltyp der Richtlinie. Siehe die Tabelle der Richtlinientypen unten.
  • action: Bereitstellungsaktion, die ergriffen werden soll, wenn eine Regel während der Zugangskontrolle fehlschlägt. Verwenden Sie entweder log oder block.
  • mitigation: Abhilfemaßnahme, die ergriffen werden soll, wenn eine Regel während der kontinuierlichen Überwachung fehlschlägt. Verwenden Sie eine der folgenden Optionen: log, terminate oder isolate
    Hinweis
    Hinweis
    Wenn die Aktion block ist, kann die Minderung nur terminate oder isolate sein.
  • properties: Das Regelobjekt, das zusätzliche Eigenschaften für den Regeltyp angibt. Siehe die Tabelle der Richtlinienregeltypen unten für weitere Details zu den erforderlichen Eigenschaften.
  • namespaces: Eine Liste von Namensräumen, auf die die Regel angewendet wird. Ausnahmen werden standardmäßig auf alle Namensräume angewendet.

Ausnahmen

Für jede Ausnahmeregel können Sie Folgendes angeben:
  • Typ: Art der Ausnahme. Unterstützte Typen umfassen:
    • imageRegistry
    • imageName
    • imageTag
    • imagePath
  • properties: Eigenschaften für jede Ausnahme, die operator und values angeben müssen.
    • operator: Bedingungsoperator, der auf die Ausnahmewerte angewendet wird, einschließlich equals, notEquals, contains und notContains.
    • values: Eine Liste von Zeichenfolgenwerten, um den Ausnahmetyp abzugleichen.
  • namespaces: Eine Liste von Namensräumen, auf die die Regel angewendet wird. Ausnahmen werden standardmäßig auf alle Namensräume angewendet.

xdrEnabled

Fügen Sie xdrEnabled ein, um auf XDR-Telemetrie und -Ressourcen zuzugreifen.

Richtlinientypen

Typ der Regel Beschreibung Regel-Eigenschaften (erforderlich)
hostIPC
Pods, die im Allgemeinen nicht erlauben, dass Container mit dem hostIPC-Flag auf true gesetzt ausgeführt werden
N/A
hostNetwork
Pods, die im Allgemeinen nicht erlauben, dass Container mit dem hostNetwork-Flag auf true gesetzt ausgeführt werden
N/A
hostPID
Pods, die im Allgemeinen nicht erlauben, dass Container mit dem hostPID-Flag auf true gesetzt ausgeführt werden
N/A
runAsNonRoot
Pods mit Containern, die als Root ausgeführt werden können, da die Einstellung runAsNonRoot nicht verwendet wird
N/A
privileged
Container, die mit dem auf true gesetzten securityContext.privileged-Flag ausgeführt werden
N/A
allowPrivilegeEscalation
Container, die mit dem auf true gesetzten allowPrivilegeEscalation-Flag ausgeführt werden
N/A
readOnlyRootFilesystem
Container, die das Schreiben in das Root-Dateisystem erlauben, wobei das Flag readOnlyRootFilesystem auf false gesetzt ist
N/A
podPortForward
Versuche, ein Port-Forwarding auf einem laufenden Kubernetes-Pod zu erstellen
N/A
podExec
Versuche, in einem laufenden Kubernetes-Pod auszuführen/sich an diesen anzuhängen
N/A
containerCapabilities
Container mit Fähigkeiten, die nicht mit der Fähigkeitsbeschränkung übereinstimmen
capabilityRestriction: Art der zu erzwingenden Containerfähigkeitsbeschränkung
Unterstützte Werte:
  • restrict-nondefaults
  • restrict-all
  • baseline
  • restricted
imageRegistry
Container, die Images ausführen, die mit Registrys übereinstimmen
  • operator: Bedingungsoperator, der auf Werte angewendet wird
    Unterstützte Werte:
    • equals
    • notEquals
    • contains
    • notContains
    • startsWith
  • values: Ein Array von Zeichenfolgenwerten, die mit dem Regeltyp übereinstimmen
imageName
Container, die Images ausführen, die dem Pfad nach dem Registry und vor dem Tag entsprechen
Beispiel: http://example.com/org/image:latest
  • operator: Bedingungsoperator, der auf Werte angewendet wird
    Unterstützte Werte:
    • equals
    • notEquals
    • contains
    • notContains
    • startsWith
  • values: Ein Array von Zeichenfolgenwerten, die mit dem Regeltyp übereinstimmen
imageTag
Container, die Images mit übereinstimmenden Tags ausführen
  • operator: Bedingungsoperator, der auf Werte angewendet wird
    Unterstützte Werte:
    • equals
    • notEquals
    • contains
    • notContains
    • startsWith
  • values: Ein Array von Zeichenfolgenwerten, die mit dem Regeltyp übereinstimmen
imagePath
Container, die Images ausführen, die dem Pfad vom Registry bis zum Tag entsprechen
Beispiel: example.com/org/image:latest
  • operator: Bedingungsoperator, der auf Werte angewendet wird
    Unterstützte Werte:
    • equals
    • notEquals
    • contains
    • notContains
    • startsWith
  • values: Ein Array von Zeichenfolgenwerten, die mit dem Regeltyp übereinstimmen
imagesNotScanned
Bilder, die in den letzten ausgewählten Tagen nicht auf Schwachstellen, Malware oder Geheimnisse gescannt wurden
  • scanType: Art-Durchsuchung
    Unterstützte Werte:
    • vulnerability
    • malware
    • secret
  • maxScanAge: Maximales Alter des DURCHSUCHEN-Ergebnisses in Tagen (Ganzzahlwert zwischen 0 und 35 Tagen)
imagesWithMalware
Bilder, die Malware enthalten
N/A
imagesWithSecrets
Bilder, die Geheimnisse enthalten
N/A
imagesWithVulnerabilities
Bilder mit Schwachstellen, die eine minimale Schweregradstufe enthalten
severity: Schweregrad der Sicherheitslücke
Unterstützte Werte:
  • critical
  • high
  • medium
  • low
  • any
imagesWithCVSSAttackVector
Bilder mit Schwachstellen, die dem definierten CVSS-Angriffsvektor und der minimalen Schwere entsprechen
  • severity: Schweregrad der Sicherheitslücke
    Unterstützte Werte:
    • critical
    • high
    • medium
    • low
    • any
  • attackVector: CVSS-Angriffsvektor
    • network
    • physical
    • adjacent
imagesWithCVSSAttackComplexity
Bilder mit Schwachstellen, die der definierten CVSS-Angriffskomplexität und der minimalen Schwere entsprechen
  • severity: Schweregrad der Sicherheitslücke
    Unterstützte Werte:
    • critical
    • high
    • medium
    • low
    • any
  • attackComplexity: CVSS-Angriffskomplexität
    Unterstützte Werte:
    • low
    • high
imagesWithCVSSAvailabilityImpact
Bilder mit Schwachstellen, die den definierten CVSS-Verfügbarkeitsauswirkungen und der minimalen Schwere entsprechen
  • severity: Schweregrad der Sicherheitslücke
    Unterstützte Werte:
    • critical
    • high
    • medium
    • low
    • any
  • availabilityImpact: CVSS-Verfügbarkeitsauswirkung
    Unterstützte Werte:
    • low
    • high