檢視次數:

Kubernetes 叢集的 Container Security 政策包含部署、持續和運行時規則,您可以將這些規則應用於整個叢集,也可以直接應用於叢集內的命名空間。

重要
重要
Amazon ECS 叢集的政策配置與 Kubernetes 環境有很大不同。要正確配置 Amazon ECS 保護政策,請參閱 管理 Amazon ECS 政策

步驟

  1. 移至「Cloud Security」「Container Security」「組態」
  2. 移至「Cloud Security」「Container Security」「組態」「.」
  3. 請點選「政策」標籤。
  4. 建立、複製或修改修改或刪除政策。
    • 若要建立新策略,請按一下「新增」「+Add」
    • 要複製現有的政策:
      1. 點選以從策略清單中選擇基礎策略。
      2. 點擊「複製」重複圖示
        Container Protection 會建立現有策略的副本,並在策略名稱後附加「策略」「複製」
    • 要修改現有的策略,請點選策略清單中的策略。
    • 若要刪除現有的政策:
      1. 點擊以從策略清單中選擇基本策略
      2. 請點選「刪除」。
  5. 對於新的和重複的策略,請指定一個唯一的策略名稱。
    注意
    注意
    • 政策名稱不得包含空格,且僅支援字母數字字符、底線 (_) 和句點 (.)。
    • 您無法在建立策略後修改策略名稱。
  6. 若要提供有關政策目的的更多詳細資訊,請使用「說明」欄位。
    描述顯示在策略清單中的策略名稱下方。
  7. 若要接收CREM risk insightWorkbench 警報,並使用搜尋應用程式來調查整個網路環境中的安全威脅,請開啟「XDR Telemetry」
    Trend Vision One 可以關聯並評估所有已配置資料來源的 XDR 遙測資料,以提供有關您網路安全和風險狀態的見解。
  8. 定義在映像部署之前適用的叢集範圍規則,請點擊Deployment標籤;定義在叢集運行期間定期適用的叢集範圍規則,請點擊Continuous標籤。
    1. 選擇您想要應用於叢集的規則。
    2. 選擇在規則觸發後要應用的操作(Log/封鎖)。
    3. 如果規則提供了其他參數,請定義要檢查的值。
      某些規則允許您根據參數值定義不同的動作。點選規則旁的新增符號 (+) 以定義更多動作。
      對於Container properties規則[action] containers with capabilities that do not conform with a [predefined] policy,請參考下表以獲取其他資訊。
      預定義政策
      說明
      限制非預設
      允許作為[預設 Docker 功能]之一的功能
      如需有關預設 Docker 政策的詳細資訊,請造訪 Docker 網站:https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities
      基準
      允許預設功能,但不允許 NET_RAW 功能
      注意
      注意
      NET_RAW 是一項預設功能,允許使用 RAW 和 PACKET 套接字。具有此功能的惡意用戶可能會偽造數據包、執行中間人攻擊以及進行其他網路攻擊。此權限通常僅用於特定的網路需求,因此取消它不應對大多數應用程式產生任何影響。
      限制
      僅允許 NET_BIND_SERVICE 功能
      注意
      注意
      NET_BIND_SERVICE 是一個預設功能,允許綁定到網路域的特權端口(端口號小於 1024)。它通常由網頁伺服器使用,並且允許非 root 用戶訪問這些端口。
      限制全部
      不允許任何功能
      注意
      注意
      • CIS Kubernetes 基準建議不要新增任何新功能,並且至少要移除 NET_RAW 功能。
      • 趨勢科技建議考慮容器需求並應用符合最小特權原則的能力政策。
        如需有關功能政策和 Pod 安全性最佳實踐的詳細資訊,請參閱 Pod 安全性標準:https://kubernetes.io/docs/concepts/security/pod-security-standards/
    4. 根據需要配置掃瞄例外。
      注意
      注意
      例外會自動新增,以允許容器安全性使用的受信任映像。
    5. 根據需要配置影像簽章驗證規則。
      此部分允許您強制要求影像在部署之前必須由可信來源簽署。此功能使用獨立管理的驗證者。詳細資訊,請參閱管理見證者
      1. 定義「Condition(s)」以指定規則適用的容器映像。
      2. 「Signature material」下拉選單中,選擇一個或多個預先配置的證明者。選擇是否「Match all」「Match any」所選的證明者。如果您需要新增證明者,可以使用下拉選單中的「Add attestor」連結。
      3. 選擇當影像違反規則時採取的「處理行動」「記錄檔」「封鎖」)。
      4. 點擊「Add new verification rule」以在同一政策中建立多個獨立的簽章規則。
  9. 透過點擊「Runtime」「Runtime ruleset」標籤,定義 Pod 運行時適用的整個叢集規則。
    執行時政策由您在「Rulesets」「Runtime ruleset」標籤上建立的規則集組成。
    1. 點選Add Ruleset
    2. 選取您想要套用至政策的規則集複選框。
    3. 點選Submit
  10. 對於需要為叢集內特定命名空間配置特殊策略的用戶,點擊「Cluster-wide Policy Definition」標題旁的添加符號 (「+」) 以定義「NamespacedPolicyDefinition」 策略「+Add Policy for namespace」 按鈕以定義「NamespacedPolicyDefinition」 策略
    1. 為命名空間特定的政策設定指定一個名稱。
    2. 請點擊新增
    3. 指定您希望套用該政策的叢集中的命名空間,然後按下ENTER
      再次點選新增以指定多個命名空間。
    4. 配置DeploymentContinuous設定以制定政策。
      注意
      注意
      您無法為命名空間配置特定的運行時規則集。
    5. 通過點擊+旁邊的添加符號 (NamespacedPolicyDefinition) 來定義其他命名空間策略。
  11. 點選Create儲存
  12. 配置DeploymentContinuous設定以制定政策。
    注意
    注意
    您無法為命名空間配置特定的運行時規則集。
  13. 通過點擊+旁邊的添加符號 (NamespacedPolicyDefinition) 來定義其他命名空間策略。