檢視次數:

Amazon ECS 叢集的 Container Security 政策包含可應用於整個叢集的執行期規則。

在建立政策時,您可以定義此政策將應用的平台,並配置該政策所支援的安全控制。准入控制是通過政策進行管理的。
重要
重要
Kubernetes 叢集的政策配置與 Amazon ECS 環境不同。要正確配置 Kubernetes 保護政策,請參閱 管理 Kubernetes 保護政策

步驟

  1. 移至「Cloud Security」「Container Security」「組態」
  2. 請點選「政策」標籤。
  3. 建立、複製或修改政策。
    • 如果要建立新的政策,請按一下「+Create」
    • 要複製現有的政策:
      1. 點選以從策略清單中選擇基礎策略。
      2. 點選Duplicate
        容器保護會建立現有策略的副本,並在策略名稱後附加「策略」。
    • 若要修改現有的策略,請點選策略清單中的策略。
  4. 對於新的和重複的政策,請輸入以下政策詳細資訊:
    1. 指定唯一的策略名稱。
      注意
      注意
      • 政策名稱不得包含空格,且僅支援字母數字字符、底線 (_) 和句點 (.)。
      • 您無法在建立策略後修改策略名稱。
    2. 若要提供有關政策目的的更多詳細資訊,請使用「說明」欄位。
      描述顯示在策略清單中的策略名稱下方。
    3. 若要接收CREM risk insightWorkbench 警報,並使用搜尋應用程式來調查整個網路環境中的安全威脅,請開啟「XDR Telemetry」
      TrendAI Vision One™ 可以關聯並評估所有已配置資料來源的XDR遙測資料,以提供有關您網路安全和風險狀態的見解。
    4. 選擇「Amazon ECS」作為目標平台,然後點擊「Proceed to Security Controls」
      注意
      注意
      一旦為政策設定了平台欄位,就無法更改。
  5. 定義整個叢集的安全控制。
    「部署」 規則在映像檔部署之前適用。Amazon ECS 政策不支援 「Continuous」 政策。
    1. 選擇您想要應用於叢集的規則。
      注意
      注意
      以下資源屬性規則僅適用於 EC2 部署(不適用於 Fargate):
      資源屬性規則群組 <Log/封鎖> 規則
      任務屬性
      在主機網路命名空間中運行的容器
       
      在主機 IPC 命名空間中運行的容器
       
      在主機 PID 命名空間中運行的容器
      容器屬性
      特權容器
    2. 選擇在規則觸發後要應用的操作(Log/封鎖)。
      封鎖會根據工作負載類型而有不同的表現:
      • 獨立任務:該任務已終止,違規原因可在TrendAI Vision One™控制台上查看。
      • 副本集服務:服務已縮減至零,若存在自動調整則已停用,並添加違規原因的標籤以指示該服務已被准入控制封鎖。
      • Daemon 設定服務:服務被施加了無法滿足的放置限制,導致任務無法執行,並添加了帶有違規原因的標籤,以指示該服務已被准入控制封鎖。
    3. 如果規則提供了其他參數,請定義要檢查的值。
      點擊規則旁的新增符號 (「+」) 以複製規則並擁有多個相同規則類型的規則。
      對於「Resource properties」規則「[action] containers with capabilities that do not conform with a [predefined] policy」,請參考下表以獲取其他資訊。
      預定義政策
      說明
      限制非預設
      允許作為[預設 Docker 功能]之一的功能
      如需有關預設 Docker 政策的詳細資訊,請造訪 Docker 網站:https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities
      基準
      允許預設功能,但不允許 NET_RAW 功能
      注意
      注意
      NET_RAW 是一項預設功能,允許使用 RAW 和 PACKET 套接字。具有此功能的惡意用戶可能會偽造數據包、執行中間人攻擊以及進行其他網路攻擊。此權限通常僅用於特定的網路需求,因此取消它不應對大多數應用程式產生任何影響。
      限制
      僅允許 NET_BIND_SERVICE 功能
      注意
      注意
      NET_BIND_SERVICE 是一個預設功能,允許綁定到網路域的特權端口(端口號小於 1024)。它通常由網頁伺服器使用,並且允許非 root 用戶訪問這些端口。
      限制全部
      不允許任何功能
      注意
      注意
      TrendAI™ 建議考慮容器需求,並根據最小權限原則應用能力政策。
    4. 根據需要配置掃瞄例外。
      注意
      注意
      例外會自動新增,以允許容器安全性使用的受信任映像。
    5. 根據需要配置影像簽章驗證規則。
      此部分允許您強制要求映像必須由受信任的來源簽署後才能部署。此功能使用獨立管理的見證者。欲了解詳細資訊,請參閱管理見證者
      注意
      注意
      • TrendAI Vision One™ 目前僅支援驗證儲存在公共註冊表中的映像或儲存在相同帳戶的私有 ECR 中的映像的簽章。跨帳戶私有 ECR 映像簽章驗證不受支援。
      • 政策例外不適用於簽章驗證規則。影像簽章驗證有其自身的例外,可以使用Preconditions進行配置。
      1. 定義「Condition(s)」以指定規則適用的容器映像。
      2. 「Signature material」下拉選單中,選擇一個或多個預先配置的驗證者。選擇是否「Match all」「Match any」所選的驗證者。如果您需要新增驗證者,您可以使用下拉選單中的「Add attestor」連結。
      3. 選擇「處理行動」以在圖像違反規則時採取行動(「記錄檔」「封鎖」)。
      4. 點擊「Add new verification rule」以在同一政策中建立多個獨立的簽章規則。
  6. 透過點擊「Runtime」「Runtime ruleset」標籤,定義 Pod 運行時適用的整個叢集規則。
    執行期政策由Rulesets標籤上的規則集組成。
    1. 點選Add Ruleset
    2. 選取您想要套用至政策的規則集複選框。
    3. 點選Submit
  7. Amazon ECS 政策不支援命名空間 (NamespacedPolicyDefinition) 政策。
  8. 點選Create儲存