响应违规
Alauda 容器安全帮助您查看、调查和处理政策违规。
其内置政策检测漏洞(CVE)、DevOps 最佳实践违规、风险构建/部署操作和可疑的运行时行为。当启用的政策未满足时,将报告违规。
了解命名空间条件有助于您管理哪些命名空间属于 Alauda 容器平台、分层产品和第三方合作伙伴。
目录
平台组件的命名空间条件
| 平台组件 | 命名空间条件 |
|---|---|
| Alauda 容器平台 | 命名空间 = cpaas-system,命名空间以 kube- 开头 |
| 分层产品 | 命名空间 = stackrox,命名空间以 acs-operator 开头,命名空间以 open-cluster-management 开头,命名空间 = multicluster-engine,命名空间 = aap,命名空间 = hive |
| 第三方合作伙伴 | 命名空间 = nvidia-gpu-operator |
Alauda 容器安全使用以下正则表达式来识别平台工作负载:
此定义不可自定义。要查看其效果:
- 在门户中点击 搜索。
- 选择 显示编排组件。
- 按
平台组件: true进行过滤。
查看违规
- 在门户中,点击 违规。
- 标签让您按类别查看违规:
- 用户工作负载:用户管理的工作负载
- 平台:平台和分层服务
- 所有违规:所有,包括审计日志违规
- 标签让您按类型查看:
- 活动:未解决或正在构建/部署中
- 已解决:已处理或手动解决
- 尝试:被强制政策阻止
- 根据需要排序、过滤和查看详细信息。
- 要从政策中排除部署:
- 对于单个:使用溢出菜单,选择 从政策中排除部署
- 对于多个:使用 行操作 > 从政策中排除部署
违规详情
违规页面显示:
- 政策:违规的政策名称
- 实体:违规发生的地方
- 类型:实体类型(例如,Deployment、Pod、DaemonSet、Secrets、ConfigMaps、ClusterRoles)
- 强制执行:强制执行是否处于活动状态
- 严重性:
低、中、高、严重 - 类别:政策类别
- 生命周期:
构建、部署、运行时 - 时间:违规发生的时间
选择一个违规将打开详细面板:
违规标签
显示政策如何被违反,包括特定值或运行时过程的详细信息。
部署标签
显示部署详细信息:
- 部署 ID/名称/类型
- 集群/命名空间/副本
- 创建/更新 时间
- 标签/注释/服务账户
容器配置
- 镜像名称
- 资源:CPU/内存请求和限制
- 卷
- 秘密:名称和容器路径
- 卷详细信息:名称、来源、目标、类型
端口配置
- containerPort
- protocol
- exposure
- exposureInfo:内部/外部,服务名称/ID,集群 IP,服务端口,节点端口,外部 IP
安全上下文
- 特权:
true或false
网络政策
- 列出命名空间和网络政策;点击政策名称查看 YAML
政策标签
显示导致违规的政策的详细信息。
政策概述
- 严重性
- 类别
- 类型:用户或系统政策
- 描述
- 理由
- 指导
- MITRE ATT&CK:相关策略/技术
政策行为
- 生命周期阶段:
构建、部署、运行时 - 事件源(对于
运行时):- 部署:由进程/网络活动、Pod 执行或端口转发触发
- 审计日志:由匹配的审计日志记录触发
- 响应:
- 通知:生成违规
- 通知并强制执行:强制执行
- 强制执行:
- 构建:对不合规镜像失败 CI 构建
- 部署:如果启用了准入控制器,阻止不合规部署的创建/更新
- 运行时:当事件匹配政策标准时删除 Pods
政策标准
Alauda 容器安全支持两种部署时强制执行类型:
- 强制执行:准入控制器阻止违规部署的创建或更新
- 软强制执行:传感器将违规部署的副本缩放为 0
注意: 默认情况下,某些管理员命名空间(例如,stackrox、kube-system、cpaas-system、istio-system)被排除在强制执行之外。系统命名空间中服务账户的请求也会被绕过。
对于现有部署,政策更改将在下一个相关的 Kubernetes 事件中强制执行。要重新评估,请转到 政策管理 并点击 重新评估所有。