#Создание пользовательских политик в Alauda Container Security

Alauda Container Security позволяет создавать пользовательские политики безопасности помимо использования стандартных. Вы можете создавать и управлять политиками через веб-портал или в виде кода с помощью пользовательских ресурсов Kubernetes (CR).

#Способы создания пользовательских политик

• В портале Alauda Container Security перейдите в Platform Configuration > Policy Management и нажмите Create Policy.
• В разделе Risk используйте фильтры для выбора критериев и нажмите Create Policy.
• Управляйте политиками как кодом, сохраняя их в виде Kubernetes CR и применяя к кластерам с помощью таких инструментов, как Argo CD.

#Создание политик через портал

#Ввод данных политики

• Name: Введите название политики.
• Severity: Выберите уровень серьезности.
• Category: Выберите категорию политики (обязательно).
• Description: Укажите подробности о политике.
• Rationale: Объясните причину создания политики.
• Guidance: Добавьте шаги для устранения нарушений.
• MITRE ATT&CK: Выберите соответствующие тактики и техники.

#Настройка жизненного цикла политики

• Выберите применимые Lifecycle Stages: Build, Deploy или Runtime.
• Для Runtime выберите Event Source: Deployment или Audit logs.

#Определение правил и критериев политики

• В разделе Rules задайте условия срабатывания политики.
• Перетаскивайте поля политики для построения правил. Доступные поля зависят от выбранной стадии жизненного цикла.
• Объединяйте несколько значений или правил с помощью логических операторов (AND/OR).

#Установка области действия политики

• Inclusion Scope: Ограничьте действие политики конкретными кластерами, namespace или метками развертываний. Поддерживается регулярное выражение RE2 для namespace и меток.
• Exclusion Scope: Исключите определённые развертывания, кластеры, namespace или метки. Регулярные выражения поддерживаются для namespace и меток (не для развертываний).
• Для стадии Build можно исключить образы из действия политики.

#Настройка действий политики

• Activation State: Установите политику как активную или неактивную.
• Enforcement:
  • Inform: Только отчёт о нарушениях.
  • Inform and enforce: Применение действий в зависимости от стадии жизненного цикла:
    • Build: Прерывает CI-сборки для несоответствующих образов.
    • Deploy: Блокирует или изменяет несоответствующие развертывания, если включён admission controller.
    • Runtime: Удаляет pod’ы, соответствующие критериям политики.
• Notifiers: Подключайте уведомления для отправки оповещений на email или внешние инструменты (например, Jira, Splunk, webhooks). Уведомители должны быть предварительно настроены в Platform Configuration > Integrations.

#Проверка и сохранение политики

• Проверьте все настройки и просмотрите возможные нарушения.
• Нажмите Save для создания политики.

#Редактирование и управление политиками

• Чтобы отредактировать политику, перейдите в Platform Configuration > Policy Management, выберите политику и нажмите Actions > Edit Policy.
• Стандартные политики нельзя редактировать напрямую; сначала их нужно клонировать.