Ansichten:

Aktivieren Sie Laufzeitsicherheit, Laufzeit-Schwachstellensuche und Laufzeit-Malware-Suche auf Kubernetes-Clustern.

Die folgende Tabelle beschreibt die Laufzeitsicherheits- und Scan-Funktionen, die für Kubernetes-Cluster verfügbar sind.
Funktion
Beschreibung
Runtime Security
Bietet Einblick in alle Aktivitäten Ihrer laufenden Container, die gegen eine anpassbare Regelmenge verstoßen.
Runtime Vulnerability Scanning
Bietet Einblick in Schwachstellen des Betriebssystems und des Open-Source-Codes, die Teil von Containern sind, die in Clustern ausgeführt werden.
Wichtig
Wichtig
  • Die Schwachstellensuche zur Laufzeit unterstützt das Ausführen der Malware-Scanner-Komponente auf sowohl ARM64- als auch x86_64-CPU-Knoten. Cluster, die Helm-Chart-Versionen älter als 3.0.1 verwenden, können nur x86_64-CPU-Knoten unterstützen.
  • Eine Schwachstellensuche erfolgt für jedes neu bereitgestellte Image und wird dann alle 24 Stunden erneut durchsucht.
  • Cluster-Worker-Knoten benötigen mindestens 2 vCPU und 8 GiB Memory. Weitere Details zu den Spezifikationen und Standardgrenzen dieser Komponenten finden Sie im Ressourcenbereich des Helm-Diagramms.
Runtime Malware Scanning
Bietet Erkennung von Malware in Ihren laufenden Containern, sodass Sie Malware-Bedrohungen identifizieren und darauf reagieren können, die nach der Bereitstellung eingeführt wurden.
Runtime Secret Scanning
Bietet Erkennung von Geheimnissen in Ihren laufenden Containern. Die Geheimnissuche stellt sicher, dass jegliche Geheimnislecks in Produktionscontainern schnell erkannt werden.

Prozedur

  1. Um Laufzeitsicherheit und Scan-Funktionen zu aktivieren, fügen Sie die folgenden Parameter zu Ihrer Overrides-YAML-Datei hinzu (normalerweise 'overrides.yaml'' genannt).
    • runtimeSecurity: enabled: true
    • vulnerabilityScanning: enabled: true
    • malwareScanning: enabled: true
    • secretScanning: enabled: true
    Beispiel:
    visionOne:
    bootstrapToken: <BOOTSTRAP_TOKEN>
    endpoint: <ENDPOINT>
    runtimeSecurity:
        enabled: true
    vulnerabilityScanning:
        enabled: true
    malwareScanning:
        enabled: true
   secretScanning:
        enabled: true
  2. Um sensible Felder für Laufzeitsicherheitsereignisse zu verbergen, fügen Sie scout.falco.sanitizer_output zur Override-Datei hinzu.
    Das scout.falco.sanitizer_output.patterns-Feld verwendet die Schlüssel-Wert-Paare, bei denen ein Falco-Ereignisfeld als Schlüssel und ein regulärer Ausdruck als Wert dient. (Siehe die von Falco unterstützten Felder für weitere Informationen.) Der reguläre Ausdruck bestimmt, ob die Zeichenfolge, die dem Muster entspricht, in der Ereignisausgabe verborgen werden soll. Die Schwärzung erfolgt sowohl in output als auch in output_fields in einem Falco-Ereignis.
    Beispiel:
    scout:
    falco:
        sanitizer_output:
            enabled: true
            patterns:
                proc.pcmdline: (?<=--process\s)\s?(\S+)|(?<=--root\s)\s?(\S+)
                fd.sip: (?<=169\.254\.)(\S+)
  3. Aktualisieren Sie Container Security mit dem folgenden Befehl.
    helm upgrade \
    trendmicro \
    --namespace trendmicro-system --create-namespace \
    --values overrides.yaml \
    https://github.com/trendmicro/visionone-container-security-helm/archive/main.tar.gz
Zugehörige Informationen