叢集管理的政策應包括部署和持續的
規則,入場評估的例外情況例外,以及包括遙測在內的XDR功能的切換xdrEnabled。使用以下信息來創建您叢集管理的政策。規則
規則包括一系列的部署和連續規則。對於每個規則,您可以指定以下內容:
-
type:政策規則類型。請參閱下方的政策規則類型表。
-
action:當規則在准入控制期間失敗時採取的部署動作。使用
log或block。 -
mitigation:當規則在持續監控期間失敗時採取的緩解措施。請使用以下其中一個:
記錄、終止或隔離
注意
如果動作是封鎖,緩解措施只能是終止或隔離。 -
properties:指定規則類型的附加屬性的規則屬性對象。請參閱下表中的政策規則類型以獲取更多有關所需屬性的詳細信息。
-
namespaces:規則應用的命名空間列表。預設情況下,例外適用於所有命名空間。
例外
對於每個政策例外規則,您可以指定以下內容:
- type:例外類型。支援的類型包括:
imageRegistryimageNameimageTagimagePath
- properties:每個例外的屬性必須指定
operator和values。- operator:應用於例外值的條件運算符,包括
equals、notEquals、contains和notContains。 - values:要匹配例外類型的字串值列表。
- operator:應用於例外值的條件運算符,包括
- namespaces:規則應用的命名空間列表。預設情況下,例外適用於所有命名空間。
xdrEnabled
包括
xdrEnabled 以訪問 XDR 遙測和資源。政策規則類型
| 規則類型 | 說明 | 規則屬性(必填) |
hostIPC |
通常不允許容器在設置 hostIPC 標誌為 true 的情況下運行的 Pods
|
不適用
|
hostNetwork |
通常不允許容器在 hostNetwork 標誌設置為 true 的情況下運行的 Pods
|
不適用
|
hostPID |
通常不允許容器在 hostPID 標誌設置為 true 的情況下運行的 Pods
|
不適用
|
runAsNonRoot |
由於未使用 runAsNonRoot 設定,具有可作為 root 執行的容器的 Pods
|
不適用
|
特權 |
設置 securityContext.privileged 標誌為 true 的容器
|
不適用
|
allowPrivilegeEscalation |
容器在 allowPrivilegeEscalation 標誌設置為 true 的情況下運行
|
不適用
|
readOnlyRootFilesystem |
允許寫入根文件系統且 readOnlyRootFilesystem 標誌設置為 false 的容器
|
不適用
|
podPortForward |
嘗試在運行中的 Kubernetes Pod 上創建端口轉發
|
不適用
|
podExec |
嘗試在正在執行的 kubernetes pod 中執行/附加到該 pod
|
不適用
|
containerCapabilities |
具有不符合能力限制的功能的容器
|
capabilityRestriction:要強制執行的容器功能限制類型支援的值:
|
imageRegistry |
運行匹配註冊表映像的容器
|
|
imageName |
運行映像的容器,其路徑在註冊表之後和標籤之前匹配
範例: http://example.com/org/image:latest
|
|
imageTag |
運行符合標籤的映像的容器
|
|
imagePath |
運行與從註冊表到標籤的路徑匹配的映像的容器
範例: example.com/org/image:latest
|
|
未掃描的影像 |
在所選的最近幾天內未掃描弱點、惡意程式或機密的映像
|
|
含有惡意軟體的圖片 |
包含惡意程式的圖片
|
不適用
|
imagesWithSecrets |
包含秘密的圖片
|
不適用
|
具有漏洞的映像檔 |
包含最低嚴重性弱點的映像
|
severity:弱點的嚴重性支援的值:
|
imagesWithCVSSAttackVector |
符合定義的CVSS攻擊向量和最低嚴重程度的弱點圖像
|
|
imagesWithCVSSAttackComplexity |
符合定義的 CVSS 攻擊複雜性和最低嚴重性的含有弱點的映像
|
|
imagesWithCVSSAvailabilityImpact |
符合定義的 CVSS 可用性影響和最低嚴重性的含有弱點的映像
|
|