檢視次數:

Kubernetes 叢集的 Container Security 政策包含部署、持續和運行時規則,您可以將這些規則應用於整個叢集,也可以直接應用於叢集內的命名空間。

在建立政策時,您可以定義此政策將應用的平台,並配置該政策所支援的安全控制。准入控制是通過政策來管理的。
重要
重要
Amazon ECS 叢集的政策配置與 Kubernetes 環境不同。要正確配置 Amazon ECS 保護政策,請參閱 管理 Amazon ECS 政策

步驟

  1. 移至「Cloud Security」「Container Security」「組態」
  2. 移至「Cloud Security」「Container Security」「組態」「.」
  3. 請點選「政策」標籤。
  4. 建立、複製或修改修改或刪除政策。
    • 若要建立新策略,請按一下「+Create」「+Add」
    • 要複製現有的政策:
      1. 點選以從策略清單中選擇基礎策略。
      2. 點擊「複製」重複圖示
        Container Protection 會建立現有策略的副本,並在策略名稱後附加「策略」「複製」
    • 要修改現有的策略,請點選策略清單中的策略。
    • 若要刪除現有的政策:
      1. 點擊以從策略清單中選擇基本策略
      2. 請點選「刪除」。
  5. 對於新的和重複的政策,請輸入以下政策詳細資訊:
    1. 指定唯一的策略名稱。
      注意
      注意
      • 政策名稱不得包含空格,且僅支援字母數字字符、底線 (_) 和句點 (.)。
      • 您無法在建立策略後修改策略名稱。
    2. 若要提供有關政策目的的更多詳細資訊,請使用「說明」欄位。
      描述顯示在策略清單中的策略名稱下方。
    3. 若要接收CREM risk insightWorkbench 警報,並使用搜尋應用程式來調查整個網路環境中的安全威脅,請開啟「XDR Telemetry」
      TrendAI Vision One™ 可以關聯並評估所有已配置資料來源的XDR遙測資料,以提供有關您網路安全和風險狀態的見解。
    4. 選擇「Kubernetes」作為目標平台,然後點擊「Proceed to Security Controls」
      注意
      注意
      一旦為政策設定了平台欄位,就無法更改。
  6. 定義整個叢集的安全控制。
    「部署」 規則在映像檔部署之前適用,而 「Continuous」 規則在叢集運行期間定期適用。
    1. 選擇您想要應用於叢集的規則。
    2. 選擇在規則觸發後要應用的操作(Log/封鎖)。
    3. 如果規則提供了其他參數,請定義要檢查的值。
      點擊規則旁的新增符號 (「+」) 以複製規則並擁有多個相同規則類型的規則。
      對於「Resource properties」規則「[action] containers with capabilities that do not conform with a [predefined] policy」,請參考下表以獲取其他資訊。
      預定義政策
      說明
      限制非預設
      允許作為[預設 Docker 功能]之一的功能
      如需有關預設 Docker 政策的詳細資訊,請造訪 Docker 網站:https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities
      基準
      允許預設功能,但不允許 NET_RAW 功能
      注意
      注意
      NET_RAW 是一項預設功能,允許使用 RAW 和 PACKET 套接字。具有此功能的惡意用戶可能會偽造數據包、執行中間人攻擊以及進行其他網路攻擊。此權限通常僅用於特定的網路需求,因此取消它不應對大多數應用程式產生任何影響。
      限制
      僅允許 NET_BIND_SERVICE 功能
      注意
      注意
      NET_BIND_SERVICE 是一個預設功能,允許綁定到網路域的特權端口(端口號小於 1024)。它通常由網頁伺服器使用,並且允許非 root 用戶訪問這些端口。
      限制全部
      不允許任何功能
      注意
      注意
      • CIS Kubernetes 基準建議不要新增任何新功能,並且至少要移除 NET_RAW 功能。
      • TrendAI™ 建議考慮容器需求,並根據最小權限原則應用能力政策。
        如需有關功能政策和 Pod 安全性最佳實踐的詳細資訊,請參閱 Pod 安全性標準:https://kubernetes.io/docs/concepts/security/pod-security-standards/
    4. 根據需要配置掃瞄例外。
      注意
      注意
      例外會自動新增,以允許容器安全性使用的受信任映像。
    5. 根據需要配置影像簽章驗證規則。
      此部分允許您強制要求影像在部署之前必須由可信來源簽署。此功能使用獨立管理的驗證者。詳細資訊,請參閱管理見證者
      注意
      注意
      政策例外不適用於簽章驗證規則。影像簽章驗證有其自身的例外,可以使用Preconditions進行配置。
      1. 定義「Condition(s)」以指定規則適用的容器映像。
      2. 「Signature material」下拉選單中,選擇一個或多個預先配置的證明者。選擇是否「Match all」「Match any」所選的證明者。如果您需要新增證明者,可以使用下拉選單中的「Add attestor」連結。
      3. 選擇當影像違反規則時採取的「處理行動」「記錄檔」「封鎖」)。
      4. 點擊「Add new verification rule」以在同一政策中建立多個獨立的簽章規則。
  7. 透過點擊「Runtime」「Runtime ruleset」標籤,定義 Pod 運行時適用的整個叢集規則。
    執行時政策由您在「Rulesets」「Runtime ruleset」標籤上建立的規則集組成。
    1. 點選Add Ruleset
    2. 選取您想要套用至政策的規則集複選框。
    3. 點選Submit
  8. 對於需要為叢集內特定命名空間配置特殊策略的用戶,點擊「Cluster-wide Policy Definition」標題旁的添加符號 (「+」) 以定義「NamespacedPolicyDefinition」 策略「+Add Policy for namespace」 按鈕以定義「NamespacedPolicyDefinition」 策略
    1. 為命名空間特定的政策設定指定一個名稱。
    2. 請點擊新增
    3. 指定您希望套用該政策的叢集中的命名空間,然後按下ENTER
      再次點選新增以指定多個命名空間。
    4. 配置DeploymentContinuous設定以制定政策。
      注意
      注意
      您無法為命名空間配置特定的運行時規則集。
    5. 通過點擊+旁邊的添加符號 (NamespacedPolicyDefinition) 來定義其他命名空間策略。
  9. 點選Create儲存
  10. 配置DeploymentContinuous設定以制定政策。
    注意
    注意
    您無法為命名空間配置特定的運行時規則集。
  11. 通過點擊+旁邊的添加符號 (NamespacedPolicyDefinition) 來定義其他命名空間策略。