《OpenShift 4.x HOL教程汇总》
本文在 OpenShift 4.9 和 RHACS 3.67.1 环境中进行验证。
文章目录
RHACS 的风险视图列出了来自所有集群的全部 Deployment,并按照基于政策违反、镜像内容、部署配置和其他相关因素的多因素风险指标进行排序,列表顶部的部署有具最高的风险。
和部署风险相关的指标
点击 Risk 页面中第一个 “visa-processor” 部署,此时右侧会默认显示 RISK INDICATOR。可以看到 RHACS 从 9 个领域评估当前 Deployment 的风险。
违反安全政策情况
展开 Policy Violations 可以看到违反 RHACS 安全策略的条目,其中有 CVE 安全漏洞,也有包含潜在风险的 Privileged Container 。
可疑的执行进程
展开 Suspicious Process Executions 可以看到在 Deployment 的容器中可疑的执行进程和参数。
镜像漏洞
展开 Image Vulnerabilities 可以看到 Deployment 使用的镜像中包含的 CVE 数量。
服务配置
展开 Service Configuration 可以看到 Deployment 配置中经常出现问题的方面,如读写(RW)能力,是否能力被放弃、是否有特权容器。
服务可及性
展开 Service Configuration 可以看到 Deployment 配置暴露在集群内部或外部的容器端口。
对攻击者有用的组件
展开 Components Useful for Attackers 可以看到在 Deployment 包含的镜像中发现的可用来网络攻击的组件。
镜像中的组件数量
展开 Number of Components in Image 可以看到在 Deployment 用到的图像内包含的软件组件数量。
镜像的新鲜度
展开 Image Freshness 可以看到在 Deployment 中用到的镜像和已存在的时间,例如,571天前的镜像。
RBAC配置
展开 RBAC Configuration 可以看到在 Deployment 中用到的基于角色的访问控制(RBAC)中授予部署的权限级别。
查看部署详情
在 DEPLOYMENT DETAILS 栏目中可以方便地看到部署的详情,包括整体部署配置、容器配置和 SC 安全上下文的配置。
查看容器内部的执行进程
在 PROCESS DISCOVERY 栏目中可以看到在运行在容器中的所有进程,其中风险较高的进程被标记为红色。可以查看这些进程运行在哪个容器中,使用了哪些参数,上一次运行时间、PID、UID。另外还可以为进程提供注释说明。
点击上图的 “EVENT TIMELINE” 蓝色区域,可以查看 Pod 中的风险事件和发生时间。
进程的安全基线
可以使用进程的基线功能来最大限度地降低风险。通过这种方法,RHACS 首先发现现有的进程并创建一个基线。然后,它默认使用 deny-all 模式运行,只允许基线中列出的进程运行。
- 在进程发现阶段,RHACS 将发现的新进程加到基线中,新出现的进程不会引起违规。
- 在 RHACS 收到部署中的容器的第一个进程指示器开始的一个小时后,它就完成了进程发现阶段。
- 此后 RHACS 不再向基线中添加新的进程。此时再出现新的进程还不会引发违规。为了能引发违规,需要手动锁定进程基线。
可以在 Spec Container Baselines 区域可以查看到每个容器的进程基线,可以“锁定”或“解锁” 这些进程。
