查看和管理安全策略
Alauda 容器安全提供默认和可自定义的安全策略,以帮助您防止高风险部署并应对容器环境中的运行时事件。
目录
策略类别
策略按类型和功能组织,以便于管理和搜索。默认类别包括:
- 异常活动
- 加密货币挖掘
- DevOps 最佳实践
- Docker CIS
- Kubernetes
- Kubernetes 事件
- 网络工具
- 包管理
- 权限
- 安全最佳实践
- 供应链安全
- 系统修改
- 漏洞管理
- 零信任
管理类别的步骤:
- 转到 平台配置 > 策略管理。
- 点击 策略类别 标签。
- 根据需要创建、查看或管理类别。
策略生命周期阶段
在创建或编辑策略时,您可以指定一个或多个生命周期阶段:
- 构建:检查镜像字段(例如 CVE、Dockerfile 指令)。
- 部署:包括构建时检查和集群配置(例如特权模式)。
- 运行时:添加进程执行和运行时事件检查。
策略标准和属性
策略由特定标准(属性)触发。以下表格总结了常见属性及其描述。有关允许值、运算符和适用阶段的详细信息,请参见每个表格下方的说明。
镜像注册表和内容
| 属性 | 描述 | 允许值 |
|---|---|---|
| 镜像注册表 | 镜像注册表的名称 | 字符串 |
| 镜像名称 | 注册表中的完整镜像名称 | 字符串 |
| 镜像标签 | 镜像标识符 | 字符串 |
| 镜像签名 | 镜像的签名集成 | 集成 ID |
| 可修复 | 镜像具有可修复的 CVE | 布尔值 |
| 自 CVE 发现以来的天数 | 自 CVE 被发现以来的天数 | 整数 |
| 镜像年龄 | 自镜像创建以来的天数 | 整数 |
| 镜像扫描年龄 | 自上次镜像扫描以来的天数 | 整数 |
| 镜像用户 | Dockerfile 中的 USER 指令 | 字符串 |
| Dockerfile 行 | Dockerfile 指令/参数 | LABEL/RUN 等等 |
| 未扫描镜像 | 镜像扫描状态 | 布尔值 |
| CVSS | 漏洞评分 | 数字 |
| 严重性 | 漏洞严重性 | 级别 |
| 修复版本 | 修复漏洞的版本 | 字符串 |
| CVE | 特定 CVE 编号 | 字符串 |
| 镜像组件 | 镜像中的软件组件 | key=value |
| 镜像操作系统 | 镜像的基础操作系统 | 字符串 |
| 所需镜像标签 | 所需的 Docker 镜像标签 | key=value |
| 不允许的镜像标签 | 不允许的 Docker 镜像标签 | key=value |
运算符: 正则表达式、NOT、AND、OR、仅 OR、仅 AND、无等。
阶段: 构建、部署、运行时
容器配置
| 属性 | 描述 | 允许值 |
|---|---|---|
| 环境变量 | 检查环境变量 | RAW=key=value |
| 容器 CPU 请求 | 请求的 CPU 核心数 | 数字 |
| 容器 CPU 限制 | CPU 核心数限制 | 数字 |
| 容器内存请求 | 请求的内存(MB) | 数字 |
| 容器内存限制 | 内存限制(MB) | 数字 |
| 特权容器 | 启用特权模式 | 布尔值 |
| 只读根文件系统 | 根文件系统为只读 | 布尔值 |
| Seccomp 配置文件类型 | Seccomp 配置文件类型 | UNCONFINED/RUNTIME_DEFAULT/LOCALHOST |
| 允许特权提升 | 允许特权提升 | 布尔值 |
| 删除能力 | 要删除的 Linux 能力 | 列表 |
| 添加能力 | 不允许的 Linux 能力 | 列表 |
| 容器名称 | 容器的名称 | 字符串 |
| AppArmor 配置文件 | 使用的 AppArmor 配置文件 | 字符串 |
| 存活探针 | 定义存活探针 | 布尔值 |
| 就绪探针 | 定义就绪探针 | 布尔值 |
运算符: 正则表达式、AND、OR、无等。
阶段: 部署、运行时
部署元数据
| 属性 | 描述 | 允许值 |
|---|---|---|
| 不允许的注释 | 不允许的注释 | key=value |
| 所需标签 | 所需的 Kubernetes 标签 | key=value |
| 所需注释 | 所需的 Kubernetes 注释 | key=value |
| 运行时类 | 部署的 RuntimeClass | 字符串 |
| 主机网络 | 启用主机网络 | 布尔值 |
| 主机 PID | 共享主机 PID 命名空间 | 布尔值 |
| 主机 IPC | 共享主机 IPC 命名空间 | 布尔值 |
| 命名空间 | 部署的命名空间 | 字符串 |
| 副本数 | 部署副本的数量 | 数字 |
运算符: 正则表达式、AND、OR、NOT、无等。
阶段: 部署、运行时
存储和网络
| 属性 | 描述 | 允许值 |
|---|---|---|
| 卷名称 | 存储的名称 | 字符串 |
| 卷来源 | 卷的提供类型 | 字符串 |
| 卷目标 | 卷挂载的路径 | 字符串 |
| 卷类型 | 卷的类型 | 字符串 |
| 可写挂载卷 | 卷挂载为可写 | 布尔值 |
| 挂载传播 | 挂载传播模式 | NONE/HOSTTOCONTAINER/BIDIRECTIONAL |
| 可写主机挂载 | 主机路径挂载为可写 | 布尔值 |
| 暴露端口协议 | 暴露端口使用的协议 | 字符串 |
| 暴露端口 | 暴露的端口号 | 数字 |
| 暴露节点端口 | 外部暴露的节点端口 | 数字 |
| 端口暴露方法 | 服务暴露方法 | UNSET/EXTERNAL/NODE/HOST/INTERNAL/ROUTE |
| 意外网络流量 | 检测到的非基线网络流量 | 布尔值 |
| 是否有 Ingress 网络策略 | 是否存在 Ingress 网络策略 | 布尔值 |
| 是否有 Egress 网络策略 | 是否存在 Egress 网络策略 | 布尔值 |
运算符: 正则表达式、AND、OR、NOT、无等。
阶段: 部署、运行时、运行时(网络)
进程活动(仅限运行时)
| 属性 | 描述 | 允许值 |
|---|---|---|
| 进程名称 | 执行的进程名称 | 字符串 |
| 进程祖先 | 父进程名称 | 字符串 |
| 进程参数 | 命令参数 | 字符串 |
| 进程 UID | Unix 用户 ID | 整数 |
| 执行的意外进程 | 不在锁定基线中 | 布尔值 |
运算符: 正则表达式、AND、OR、NOT、无等。
阶段: 运行时(进程)
Kubernetes 访问和事件
| 属性 | 描述 | 允许值 |
|---|---|---|
| 服务账户 | 服务账户的名称 | 字符串 |
| 自动挂载服务账户令牌 | 自动挂载服务账户令牌 | 布尔值 |
| 最小 RBAC 权限 | 最小 RBAC 权限级别 | DEFAULT/ELEVATED_IN_NAMESPACE/ELEVATED_CLUSTER_WIDE/CLUSTER_ADMIN |
| Kubernetes 操作 | Kubernetes 操作的名称 | PODS_EXEC/PODS_PORTFORWARD |
| Kubernetes 用户名称 | 访问资源的用户名称 | 字符串 |
| Kubernetes 用户组 | 用户组名称 | 字符串 |
| Kubernetes 资源类型 | 访问的资源类型 | 字符串 |
| Kubernetes API 动词 | 使用的 API 动词 | CREATE/DELETE/GET/PATCH/UPDATE |
| Kubernetes 资源名称 | 访问的资源名称 | 字符串 |
| 用户代理 | 使用的用户代理 | 字符串 |
| 源 IP 地址 | 源 IP 地址 | IPv4/IPv6 |
| 是否为模拟用户 | 请求是否由模拟用户发出 | 布尔值 |
运算符: 正则表达式、AND、OR、NOT、无等。
阶段: 部署、运行时、运行时(K8s 事件)、运行时(审计日志)
策略执行
Alauda 容器安全支持多种执行类型,具体取决于策略阶段:
- 构建时执行:如果镜像违反策略,则 CI 构建失败。API 返回非零退出代码,可用于使构建管道失败。
- 部署时执行:与 Kubernetes 准入控制器和 Alauda 容器平台准入插件集成,以阻止不合规的工作负载。执行可以是:
- 强制执行:准入控制器阻止创建或更新违反的部署。
- 软性执行:传感器将违反的部署缩放为零副本,防止 pod 被调度。
- 运行时执行:启用时,任何在 pod 内部违反此策略的运行时活动将导致 pod 被自动删除。通过 API 服务器触发的违规行为也将被阻止。
注意: 默认情况下,
stackrox、kube-system、cpaas-system和istio-system等管理命名空间被排除在执行阻止之外。来自系统命名空间中服务账户的请求也会被绕过。
要将策略更改应用于现有部署,请使用 策略管理 > 重新评估所有 以触发对所有部署的执行。
导出和导入策略
您可以通过将策略导出和导入为 JSON 文件,在不同的 Central 实例之间共享安全策略。
导出策略
- 转到 平台配置 > 策略管理。
- 选择要导出的策略。
- 点击 操作 > 导出策略到 JSON。
导入策略
- 转到 平台配置 > 策略管理。
- 点击 导入策略。
- 上传 JSON 文件并点击 开始导入。
导入处理:
- 如果导入的策略 UID 和名称是唯一的,则会创建新策略。
- 如果 UID 匹配但名称不同,您可以保留两个(新 UID)或替换现有策略。
- 如果名称匹配但 UID 不同,您可以保留两个(重命名)或替换现有策略。
- 如果 UID 和名称都匹配,Alauda 容器安全会检查标准是否匹配。如果匹配,则保留现有策略;否则,您可以保留两个(重命名)或替换。
重要:
- 当导入到同一 Central 实例时,所有导出的字段都会被使用。
- 当导入到不同的 Central 实例时,某些字段(例如集群范围排除通知)将被省略,无法迁移。