Ansichten:

Definieren Sie Container Security verwaltete Regelsets, um den Schutz Ihrer Container während der Sicherheitssuche zur Laufzeit sicherzustellen.

Laufzeitsicherheit bietet Einblick in Containeraktivitäten, die gegen eine anpassbare Regelmenge verstoßen. Derzeit umfasst die Laufzeitsicherheit eine Reihe vordefinierter Regeln, die Einblick in die Taktiken des MITRE ATT&CK-Frameworks für Container sowie in die Erkennung von Containerabweichungen bieten. Container Security kann automatisch Probleme beheben, die durch die Laufzeitsicherheitsfunktion erkannt werden. Wenn ein Pod während der Laufzeit gegen eine Regel verstößt, wird das Problem durch Beenden oder Isolieren des Pods gemäß dem der Container Security-Policy zugewiesenen Regelwerk behoben.
Wichtig
Wichtig
Regelsätze sind mit Kubernetes und Amazon ECS kompatibel und unterstützen Amazon EKS, Microsoft Azure AKS, Google GKE und OpenShift, die unterstützte Linux-Kernel ausführen.

Prozedur

  1. Navigieren Sie zu Cloud SecurityContainer SecurityKonfigurationObject Management.
  2. Navigieren Sie zu Object managementContainer SecurityKonfiguration.
  3. Klicken Sie auf die Registerkarte Managed rulesets unter Runtime Security Rulesets.
  4. Erstellen Sie ein Regelset, indem Sie auf +Add klicken.
  5. Geben Sie einen eindeutigen Regelsetnamen an.
    Hinweis
    Hinweis
    • Regelsatznamen dürfen keine Leerzeichen enthalten und unterstützen nur alphanumerische Zeichen, Unterstriche (_) und Punkte (.).
    • Der Name des Regelsets kann nach der Erstellung des Regelsets nicht geändert werden.
  6. Wenn Sie weitere Details zum Zweck des Regelwerks angeben möchten, verwenden Sie das Feld Beschreibung.
    Die Beschreibung erscheint unter dem Namen des Regelwerks in der Regelwerkliste.
  7. Für Benutzer, die Labels auf ihre Kubernetes-Cluster angewendet haben und das Regelset nur auf Cluster mit entsprechenden Labels anwenden möchten, klicken Sie auf Add Label.
    1. Geben Sie für jedes Etikett die Schlüssel und !!Value!! an.
    2. Wenn Sie mehrere Labels haben, auf die Sie das Regelset anwenden möchten, klicken Sie erneut auf Add Label.
    Wichtig
    Wichtig
    Labels werden nur auf Kubernetes-Clustern unterstützt und haben keine Auswirkungen auf Amazon ECS-Cluster.
  8. Regeln auf das Regelset anwenden, indem Sie Aktiviert neben jeder Regel auswählenden Schalter aktivieren.
    Tipp
    Tipp
    Um weitere Informationen über die Angriffstechnik zu erhalten, die eine Regel verhindern soll, suchen Sie nach der MITRE-ID (zum Beispiel T1021.004) auf der MITRE-Website.
  9. Wenden Sie die Regeln auf das Regelset an, indem Sie die Umschalter aktivieren.
  10. In the Action column, select what action you want Container Security to perform when the rule is violated.
    • Protokoll: Das Ereignis protokollieren, aber den Container weiterlaufen lassen
    • Isolieren: Isolieren Sie das Pod von jeglichem Netzwerkverkehr (nur Kubernetes)
    • Beenden: Beenden Sie das Pod (Kubernetes und ECS mit CAM-Versionen über v2.2.3)
    Wichtig
    Wichtig
    Ab CAM für ECS-Schutz v2.2.3 wird Beenden während der Laufzeitsicherheit für ECS unterstützt; Isolieren ist standardmäßig im Protokollmodus.
    Für CAM für ECS-Schutzversionen vor v2.2.3 unterstützen Amazon ECS-Cluster nur die Aktion Protokoll. Wenn Sie Isolieren oder Beenden auswählen und das Regelset auf einen Amazon ECS-Cluster anwenden, setzt Container Security standardmäßig nur die Aktion Protokoll ein.
  11. Klicken Sie auf Create ruleset.