Kubernetes 叢集的容器保護策略包含部署、持續和運行時規則,您可以將這些規則應用於整個叢集,也可以直接應用於叢集內的命名空間。
 |
重要Amazon ECS 叢集的政策配置與 Kubernetes 環境有很大不同。要正確配置 Amazon ECS 保護政策,請參閱 管理 Amazon ECS 政策。
|
步驟
- 前往 。
- 點選Policies標籤。
- 建立、複製或修改政策。
-
要建立新政策,請點選New。
-
要複製現有的政策:
-
點選以從策略清單中選擇基礎策略。
-
點選Duplicate。容器保護會建立現有策略的副本,並在策略名稱後附加「策略」。
-
-
要修改現有的策略,請點選策略清單中的策略。
-
- 對於新的和重複的策略,請指定一個唯一的策略名稱。
注意
-
政策名稱不得包含空格,且僅支援字母數字字符、底線 (_) 和句點 (.)。
-
您無法在建立策略後修改策略名稱。
-
- 如果您想提供有關該政策目的的更多詳細信息,請使用Description欄位。描述顯示在策略清單中的策略名稱下方。
- 若要接收ASRM 風險洞察、工作台警報,並使用搜尋應用程式來調查整個網路環境中的安全威脅,請開啟XDR Telemetry。Trend Vision One 可以關聯並評估所有已配置資料來源的 XDR 遙測資料,以提供有關您網路安全和風險狀態的見解。
- 定義在映像部署之前適用的叢集範圍規則,請點擊Deployment標籤;定義在叢集運行期間定期適用的叢集範圍規則,請點擊Continuous標籤。
- 選擇您想要應用於叢集的規則。
- 選擇在規則觸發後要應用的操作(Log/封鎖)。
- 如果規則提供了其他參數,請定義要檢查的值。某些規則允許您根據參數值定義不同的動作。點選規則旁的新增符號 (+) 以定義更多動作。對於Container properties規則[action] containers with capabilities that do not conform with a [predefined] policy,請參考下表以獲取其他資訊。預定義政策說明限制非預設允許作為[預設 Docker 功能]之一的功能如需有關預設 Docker 政策的詳細資訊,請造訪 Docker 網站:https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities基準允許預設功能,但不允許 NET_RAW 功能
注意
NET_RAW 是一項預設功能,允許使用 RAW 和 PACKET 套接字。具有此功能的惡意用戶可能會偽造數據包、執行中間人攻擊以及進行其他網路攻擊。此權限通常僅用於特定的網路需求,因此取消它不應對大多數應用程式產生任何影響。限制僅允許 NET_BIND_SERVICE 功能注意
NET_BIND_SERVICE 是一個預設功能,允許綁定到網路域的特權端口(端口號小於 1024)。它通常由網頁伺服器使用,並且允許非 root 用戶訪問這些端口。限制全部不允許任何功能注意
-
CIS Kubernetes 基準建議不要新增任何新功能,並且至少要移除 NET_RAW 功能。
-
趨勢科技建議考慮容器需求並應用符合最小特權原則的能力政策。如需有關功能政策和 Pod 安全性最佳實踐的詳細資訊,請參閱 Pod 安全性標準:https://kubernetes.io/docs/concepts/security/pod-security-standards/
-
- 根據需要配置掃瞄例外。
注意
例外會自動新增,以允許容器安全性使用的受信任映像。
- 通過點擊Runtime標籤來定義 Pod 運行時適用的集群範圍規則。執行期政策由Rulesets標籤上您創建的規則集組成。
- 點選Add Ruleset。
- 選取您想要套用至政策的規則集複選框。
- 點選Submit。
- 對於需要為叢集內特定命名空間配置特殊策略的使用者,點選Cluster-wide Policy Definition標題旁的新增符號(+)來定義NamespacedPolicyDefinition策略。
- 為命名空間特定的政策設定指定一個名稱。
- 點選新增。
- 指定您希望套用該政策的叢集中的命名空間,然後按下ENTER。再次點選新增以指定多個命名空間。
- 配置Deployment和Continuous設定以制定政策。
注意
您無法為命名空間配置特定的運行時規則集。 - 通過點擊+旁邊的添加符號 (NamespacedPolicyDefinition) 來定義其他命名空間策略。
- 點選Create或儲存。