ビュー:
クラスター管理ポリシーには、デプロイと継続的なrulesexceptionsを使用したアドミッション評価の例外、およびxdrEnabledを使用したテレメトリを含むXDR機能のトグルを含める必要があります。以下の情報を使用して、クラスター管理ポリシーのポリシーを作成してください。

ルール

ルールには、デプロイメントルールと継続ルールの配列が含まれます。各ルールについて、次の項目を指定できます:
  • [type]: ポリシールールの種類。以下のポリシールールの種類の表を参照してください。
  • [action]: アドミッションコントロール中にルールが失敗した場合に実行するデプロイメントアクション。log または block を使用します。
  • [mitigation]: ルールが継続的な監視中に失敗した場合に取る緩和措置。次のいずれかを使用します: logterminate、またはisolate
    注意
    注意
    アクションがblockの場合、緩和策はterminateまたはisolateのみです。
  • [properties]: ルールタイプの追加プロパティを指定するルールプロパティオブジェクトです。必要なプロパティの詳細については、以下のポリシールールタイプの表を参照してください。
  • [namespaces]: ルールが適用される名前空間のリスト。例外はデフォルトで全ての名前空間に適用されます。

例外

各ポリシー除外ルールについて、次の項目を指定できます:
  • [type]: 除外の種類。サポートされている種類には以下が含まれます:
    • imageRegistry
    • imageName
    • imageTag
    • imagePath
  • [properties]: 各除外のプロパティには、operatorvalues を指定する必要があります。
    • [operator]: 除外値に適用する条件演算子。equalsnotEqualscontainsnotContainsを含みます。
    • [values]: 除外タイプに一致する文字列値のリスト。
  • [namespaces]: ルールが適用される名前空間のリスト。例外はデフォルトで全ての名前空間に適用されます。

xdrEnabled

xdrEnabled を含めて、XDR テレメトリおよびリソースにアクセスします。

ポリシールールタイプ

ルールの種類 説明 ルールプロパティ(必須)
hostIPC
一般的にhostIPCフラグをtrueに設定してコンテナを実行することを許可しないPod
N/A
hostNetwork
ホストネットワークフラグがtrueに設定されているコンテナの実行を一般的に許可しないポッド
N/A
hostPID
一般的にhostPIDフラグがtrueに設定されているコンテナの実行を許可しないPod
N/A
runAsNonRoot
runAsNonRoot設定が使用されていないため、rootとして実行できるコンテナを持つPod
N/A
privileged
securityContext.privileged フラグが true に設定されているコンテナ
N/A
allowPrivilegeEscalation
allowPrivilegeEscalation フラグが true に設定されているコンテナ
N/A
readOnlyRootFilesystem
読み取り専用ルートファイルシステムフラグがfalseに設定されているルートファイルシステムへの書き込みを許可するコンテナ
N/A
podPortForward
実行中のKubernetesポッドでポートフォワードを作成しようとしています
N/A
podExec
実行中のKubernetesポッドに対して実行/アタッチしようとしています
N/A
containerCapabilities
機能制限に準拠していない機能を持つコンテナ
capabilityRestriction: 適用するコンテナ機能制限の種類
サポートされている値:
  • restrict-nondefaults
  • restrict-all
  • ベースライン
  • 制限付き
imageRegistry
レジストリに一致するイメージを実行しているコンテナ
  • operator: 値に適用する条件演算子
    サポートされている値:
    • equals
    • notEquals
    • 含む
    • notContains
    • startsWith
  • values: ルールタイプに一致する文字列値の配列
imageName
レジストリの後、タグの前のパスに一致するイメージを実行しているコンテナ
例: http://example.com/org/image:latest
  • operator: 値に適用する条件演算子
    サポートされている値:
    • equals
    • notEquals
    • 含む
    • notContains
    • startsWith
  • values: ルールタイプに一致する文字列値の配列
imageTag
タグに一致するイメージを実行しているコンテナ
  • operator: 値に適用する条件演算子
    サポートされている値:
    • equals
    • notEquals
    • 含む
    • notContains
    • startsWith
  • values: ルールタイプに一致する文字列値の配列
imagePath
レジストリからタグまでのパスに一致するイメージを実行しているコンテナ
例: example.com/org/image:latest
  • operator: 値に適用する条件演算子
    サポートされている値:
    • equals
    • notEquals
    • 含む
    • notContains
    • startsWith
  • values: ルールタイプに一致する文字列値の配列
imagesNotScanned
選択された過去数日間に脆弱性、不正プログラム、または秘密がスキャンされていないイメージ
  • scanType: アーティファクトスキャンの種類
    サポートされている値:
    • 脆弱性
    • 不正プログラム
    • シークレット
  • maxScanAge: スキャン結果の最大経過日数(日数は0から30の整数値)
imagesWithMalware
不正プログラムを含む画像
N/A
imagesWithSecrets
秘密を含む画像
N/A
imagesWithVulnerabilities
脆弱性が含まれる最小の深刻度のイメージ
severity: 脆弱性の重大度
サポートされている値:
  • クリティカル
  • any
imagesWithCVSSAttackVector
定義されたCVSS攻撃ベクターおよび最小深刻度を満たす脆弱性を持つイメージ
  • severity: 脆弱性の重大度
    サポートされている値:
    • クリティカル
    • any
  • attackVector: CVSS 攻撃ベクター
    • ネットワーク
    • 物理
    • 隣接
imagesWithCVSSAttackComplexity
定義されたCVSS攻撃の複雑さと最小の深刻度を満たす脆弱性のあるイメージ
  • severity: 脆弱性の重大度
    サポートされている値:
    • クリティカル
    • any
  • attackComplexity: CVSS 攻撃の複雑さ
    サポートされている値:
imagesWithCVSSAvailabilityImpact
定義されたCVSS可用性影響および最小深刻度を満たす脆弱性のあるイメージ
  • severity: 脆弱性の重大度
    サポートされている値:
    • クリティカル
    • any
  • availabilityImpact: CVSS 可用性への影響
    サポートされている値: