Ansichten:

Container-Sicherheitsrichtlinien für Kubernetes-Cluster enthalten Bereitstellungs-, kontinuierliche und Laufzeitrichtlinien, die Sie auf gesamte Cluster anwenden können und die Sie direkt auf Namespaces innerhalb von Clustern anwenden können.

Wichtig
Wichtig
Die Richtlinienkonfiguration für Amazon ECS-Cluster unterscheidet sich stark von einer Kubernetes-Umgebung. Um Amazon ECS-Schutzrichtlinien ordnungsgemäß zu konfigurieren, siehe Verwalten von Amazon ECS-Richtlinien.

Prozedur

  1. Navigieren Sie zu Cloud SecurityContainer SecurityKonfiguration.
  2. Klicken Sie auf die Registerkarte Richtlinie.
  3. Erstellen, duplizieren oder ändern Sie eine Richtlinie.
    • Klicken Sie auf Neu, um eine neue Richtlinie zu erstellen.
    • Um eine bestehende Richtlinie zu duplizieren:
      1. Klicken Sie, um die Basisrichtlinie aus der Richtlinienliste auszuwählen.
      2. Klicken Sie auf Duplizieren.
        Container Security erstellt eine Kopie der bestehenden Richtlinie und fügt "Richtlinie" zum Richtliniennamen hinzu.
    • Um eine bestehende Richtlinie zu ändern, klicken Sie auf die Richtlinie in der Richtlinienliste.
  4. Für neue und duplizierte Richtlinien geben Sie einen eindeutigen Richtliniennamen an.
    Hinweis
    Hinweis
    • Richtliniennamen dürfen keine Leerzeichen enthalten und unterstützen nur alphanumerische Zeichen, Unterstriche (_) und Punkte (.).
    • Sie können den Richtliniennamen nach der Erstellung der Richtlinie nicht mehr ändern.
  5. Um weitere Details zum Zweck der Richtlinie anzugeben, verwenden Sie das Feld Beschreibung.
    Die Beschreibung erscheint unter dem Richtliniennamen in der Richtlinienliste.
  6. Um CREM Risk Insights, Workbench-Warnungen zu erhalten und die Such-App zu verwenden, um Sicherheitsbedrohungen in Ihrer Netzwerkumgebung zu untersuchen, aktivieren Sie XDR Telemetry.
    Trend Vision One kann XDR-Telemetriedaten aus allen konfigurierten Datenquellen korrelieren und bewerten, um Einblicke in die Sicherheits- und Risikolage Ihres Netzwerks zu bieten.
  7. Definieren Sie die clusterweiten Regeln, die gelten, bevor ein Image bereitgestellt wird, indem Sie auf die Registerkarte Verteilung klicken, und die clusterweiten Regeln, die periodisch gelten, während der Cluster läuft, indem Sie auf die Registerkarte Continuous klicken.
    1. Wählen Sie die Regeln aus, die Sie auf den Cluster anwenden möchten.
    2. Wählen Sie die Aktion (Protokoll/Sperren), die nach dem Auslösen einer Regel angewendet werden soll.
    3. Wenn die Regel zusätzliche Parameter bereitstellt, definieren Sie die zu überprüfenden Werte.
      Einige Regeln ermöglichen es Ihnen, je nach Parameterwerten unterschiedliche Aktionen zu definieren. Klicken Sie auf das Hinzufügen-Symbol (+) neben der Regel, um weitere Aktionen zu definieren.
      Für die Regel Container properties [action] containers with capabilities that do not conform with a [predefined] policy konsultieren Sie die folgende Tabelle für zusätzliche Informationen.
      Vordefinierte Richtlinie
      Beschreibung
      Einschränken-nicht-Standard
      Erlaubt Funktionen, die zu den [standardmäßigen Docker-Funktionen] gehören
      Für weitere Informationen über die standardmäßigen Docker-Richtlinien besuchen Sie die Docker-Website unter: https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities
      Baseline
      Erlaubt Standardfunktionen, aber nicht die NET_RAW-Funktion
      Hinweis
      Hinweis
      NET_RAW ist eine Standardberechtigung, die die Verwendung von RAW- und PACKET-Sockets ermöglicht. Mit dieser Berechtigung kann ein bösartiger Benutzer Pakete fälschen, MITM-Angriffe ausführen und andere Netzwerkausnutzungen durchführen. Dieses Privileg wird normalerweise nur für spezifische Netzwerkbedürfnisse verwendet, daher sollte das Entfernen keine Auswirkungen auf die Mehrheit der Anwendungen haben.
      unzulässig
      Erlaubt nur die NET_BIND_SERVICE-Fähigkeit
      Hinweis
      Hinweis
      NET_BIND_SERVICE ist eine Standardfunktion, die das Binden an privilegierte Internet-Domain-Ports (Portnummern kleiner als 1024) ermöglicht. Sie wird häufig von Webservern verwendet und um Nicht-Root-Benutzern den Zugriff auf diese Ports zu gewähren.
      alle-einschränken
      Erlaubt keine Fähigkeit
      Hinweis
      Hinweis
      • Die CIS Kubernetes Benchmarks empfehlen, keine neuen Fähigkeiten hinzuzufügen und mindestens die NET_RAW-Fähigkeit zu entfernen.
      • Trend Micro empfiehlt, die Anforderungen an Container zu berücksichtigen und eine Fähigkeitsrichtlinie im Einklang mit dem Prinzip der minimalen Berechtigungen anzuwenden.
        Weitere Informationen zu Fähigkeitspolicies und bewährten Sicherheitspraktiken für Pods finden Sie in den Pod-Sicherheitsstandards unter: https://kubernetes.io/docs/concepts/security/pod-security-standards/
    4. Konfigurieren Sie die gewünschten DURCHSUCHUNGSAUSNAHMEN.
      Hinweis
      Hinweis
      Eine Ausnahme wird automatisch hinzugefügt, um vertrauenswürdige Images zuzulassen, die von Container Security verwendet werden.
    5. Konfigurieren Sie die Regeln zur Überprüfung der Bildsignatur nach Bedarf.
      In diesem Abschnitt können Sie erzwingen, dass Bilder von einer vertrauenswürdigen Quelle signiert werden, bevor sie bereitgestellt werden können. Diese Funktion verwendet Attestatoren, die separat verwaltet werden. Weitere Informationen finden Sie unter Attestatoren verwalten.
      1. Definieren Sie das Condition(s), um festzulegen, auf welche Container-Images die Regel angewendet wird.
      2. Wählen Sie im Dropdown-Menü Signature material einen oder mehrere vorkonfigurierte Attestatoren aus. Entscheiden Sie, ob Sie Match all oder Match any der ausgewählten Attestatoren möchten. Wenn Sie einen neuen Attestator hinzufügen müssen, können Sie den Link Add attestor im Dropdown-Menü verwenden.
      3. Wählen Sie die Aktion aus, die ergriffen werden soll, wenn ein Bild gegen die Regel verstößt (Protokoll oder Sperren).
      4. Klicken Sie auf Add new verification rule, um mehrere unabhängige Signaturregeln innerhalb derselben Richtlinie zu erstellen.
  8. Definieren Sie die clusterweiten Regeln, die gelten, während ein Pod läuft, indem Sie auf die Registerkarte Runtime klicken.
    Die Laufzeitrichtlinie besteht aus den Regelsätzen, die Sie erstellen auf der Rulesets-Registerkarte.
    1. Klicken Sie auf Add Ruleset.
    2. Wählen Sie das Kontrollkästchen des Regelwerks aus, das Sie auf die Richtlinie anwenden möchten.
    3. Klicken Sie auf Absenden.
  9. Für Benutzer, die spezielle Richtlinien für bestimmte Namespaces innerhalb von Clustern konfigurieren müssen, klicken Sie auf das Hinzufügen-Symbol (+) neben der Cluster-wide Policy Definition-Überschrift, um eine NamespacedPolicyDefinition-Richtlinie zu definieren.
    1. Geben Sie einen Namen für die namensraumspezifischen Richtlinieneinstellungen an.
    2. Klicken Sie auf Hinzufügen.
    3. Geben Sie den Namespace im Cluster an, auf den die Richtlinie angewendet werden soll, und drücken Sie EINGABETASTE.
      Klicken Sie erneut auf Hinzufügen, um mehrere Namespaces anzugeben.
    4. Konfigurieren Sie die Verteilung- und Continuous-Einstellungen für die Richtlinie.
      Hinweis
      Hinweis
      Sie können keine spezifischen Laufzeitsatzregeln für Namespaces konfigurieren.
    5. Definieren Sie zusätzliche Namensraumrichtlinien, indem Sie auf das Hinzufügen-Symbol (+) neben den NamespacedPolicyDefinition-Überschriften klicken.
  10. Klicken Sie auf Erstellen oder Speichern.