《OpenShift 4.x HOL教程汇总》
本文在 OpenShift4.9 环境中进行验证。
主要功能
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
无论在本地还是在云端部署,RHACS 能提供高级安全防护功能,从而确保底层 Kubernetes 基础架构得到保护。RHACS 会根据 CIS 基准和其他安全防护最佳实践不断扫描您的环境,防止不当配置和威胁,从而提供全面的 Kubernetes 原生保护。RHACS 内置了 Kubernetes 原生安全防护功能,能让用户及时洞察针对红帽 OpenShift 环境的关键漏洞和威胁途径。它能在现有工作流中为开发人员提供自动化防护,从而简化 DevSecOps。RHACS 可集成用户的 CI/CD 管道和镜像仓库,提供持续的镜像扫描和保障。通过在工作流中尽早进行安全测试,用户可在同一开发者环境借助实时反馈和警报,修复易受攻击和配置错误的镜像。RHACS 标准配备数百种部署时和运行时策略,能有效防止有风险的工作负载部署或运行。RHACS 可以监控、收集和评估系统级事件,如流程执行、网络连接和网络流,以及 Kubernetes 环境中每个容器内的权限提升。
RHACS 包含的功能有:
- 漏洞管理:在整个软件开发生命周期中,识别并修复容器镜像和 Kubernetes 的漏洞。
- 合规:根据 CIS 基准、NIST、PCI 和 HIPAA 对您的系统进行审计,提供交互式仪表板和一键式审计报告。
- 网络分段:可视化现有和允许的网络流量,并使用 Kubernetes 原生控制来执行网络策略和更严格的分段。
- 风险预测:利用 Kubernetes 声明性数据上下文,按风险等级排序查看您的所有部署,来确定补救的优先次序。
- 配置管理:应用最佳实践来强化您的 Kubernetes 环境和工作负载,确保应用更安全和更稳定。
- 检测和响应:使用规则、允许列表和基线来识别可疑活动,并采取行动阻止攻击,使用 Kubernetes 来执行。
技术架构和功能模块
RHACS (StackRox) 的技术架构如下图,其中包含了2种核心运行角色:集中的管理中心和被管 OpenShift 或 Kubernetes 集群。RHACS 包含的详细组件有:
- Central [集中运行组件]:Central 是 RHACS 的主要组件,通过 Advanced Cluster Security Operator 安装并运行在 OpenShift 上。它处理数据持久性、API交互和用户界面访问。可以使用同一个 Central 实例来保护多个 OpenShift 或 Kubernetes 集群。
- Scanner [集中运行组件]:RHACS 包括一个名为 Scanner 的图像漏洞扫描组件。它分析所有镜像层,以检查常见漏洞和暴露(CVEs)列表中的已知漏洞。Scanner 还能识别由软件包管理器安装的软件包和多种编程语言的依赖关系中的漏洞。
- Sensor [每个被管 Cluster 一个组件]:RHACS 使用 Sensor 组件来监控 Kubernetes 和OpenShift 集群。它处理与 OpenShift 或 Kubernetes API 服务器的互动,以进行策略检测和执行,并与收集器进行协调。
- Admission Controller [每个被管 Cluster 一个组件]:Admission Controller 防止用户创建违反 RHACS 中的安全策略的工作负载。
- Collector [每个被管 Node 一个组件] :Collector 收集并监控有关容器运行时间和网络活动的信息。然后将收集的信息发送给传感器。