Alauda Container Security
  • Русский

    • Политики по умолчанию в Alauda Container Security

    Alauda Container Security предлагает набор политик по умолчанию, которые помогают предотвращать развертывания с высоким уровнем риска и реагировать на инциденты во время выполнения в вашей Kubernetes-среде. Эти политики предназначены для выявления проблем безопасности и обеспечения соблюдения лучших практик в ваших кластерах.

    Содержание

    ОбзорПросмотр политикСтруктура таблицы политикПолитики с критическим уровнем серьезностиПолитики с высоким уровнем серьезностиПолитики со средним уровнем серьезностиПолитики с низким уровнем серьезностиУправление политиками по умолчанию

    Обзор

    Политики по умолчанию охватывают весь жизненный цикл контейнера: сборка, развертывание и выполнение. Вы можете просматривать, клонировать и редактировать эти политики в портале Alauda Container Security. Политики по умолчанию нельзя удалять или изменять напрямую.

    Просмотр политик

    1. Перейдите в Platform Configuration > Policy Management в портале.
    2. В представлении Policies отображаются все политики по умолчанию и пользовательские, включая их статус, уровень серьезности и этап жизненного цикла.

    Структура таблицы политик

    • Policy: Название политики
    • Description: Что политика обнаруживает или обеспечивает
    • Status: Enabled или Disabled
    • Severity: Critical, High, Medium или Low
    • Lifecycle: Build, Deploy или Runtime

    Политики с критическим уровнем серьезности

    Lifecycle StagePolicy NameDescriptionStatus
    Build/DeployApache Struts: CVE-2017-5638Оповещение о образах с уязвимостью CVE-2017-5638 в Apache Struts.Enabled
    Build/DeployLog4Shell: log4j Remote Code ExecutionОповещение о образах с уязвимостями CVE-2021-44228 и CVE-2021-45046.Enabled
    Build/DeploySpring4Shell & Spring Cloud FunctionОповещение о образах с CVE-2022-22965 (Spring MVC) или CVE-2022-22963 (Spring Cloud).Enabled
    RuntimeIptables Executed in Privileged ContainerОповещение при запуске iptables в привилегированных подах.Enabled

    Политики с высоким уровнем серьезности

    Lifecycle StagePolicy NameDescriptionStatus
    Build/DeployFixable CVSS >= 7Оповещение о исправимых уязвимостях с CVSS ≥ 7.Disabled
    Build/DeployFixable Severity at least ImportantОповещение о исправимых уязвимостях с рейтингом Important или выше.Enabled
    Build/DeployRapid Reset: HTTP/2 DoS VulnerabilityОповещение о уязвимых к DoS-атаке HTTP/2 Rapid Reset образах.Disabled
    Build/DeploySecure Shell (ssh) Port Exposed in ImageОповещение при открытом порте 22 в образах.Enabled
    DeployEmergency Deployment AnnotationОповещение о развертываниях с экстренными аннотациями, обходящими проверки.Enabled
    DeployEnvironment Variable Contains SecretОповещение при наличии 'SECRET' в переменных окружения.Enabled
    DeployFixable CVSS >= 6 and PrivilegedОповещение о привилегированных развертываниях с исправимыми уязвимостями CVSS ≥ 6.Disabled
    DeployPrivileged Containers with Important and Critical Fixable CVEsОповещение о привилегированных контейнерах с важными/критическими исправимыми уязвимостями.Enabled
    DeploySecret Mounted as Environment VariableОповещение при монтировании секретов как переменных окружения.Disabled
    DeploySecure Shell (ssh) Port ExposedОповещение при открытом порте 22 в развертываниях.Enabled
    RuntimeCryptocurrency Mining Process ExecutionОбнаружение процессов майнинга криптовалюты.Enabled
    Runtimeiptables ExecutionОбнаружение использования iptables в контейнерах.Enabled
    RuntimeKubernetes Actions: Exec into PodОповещение о выполнении команд exec в контейнерах через Kubernetes API.Enabled
    RuntimeLinux Group Add ExecutionОбнаружение использования groupadd/addgroup.Enabled
    RuntimeLinux User Add ExecutionОбнаружение использования useradd/adduser.Enabled
    RuntimeLogin BinariesОбнаружение попыток входа в систему.Disabled
    RuntimeNetwork Management ExecutionОбнаружение команд настройки сети.Enabled
    Runtimenmap ExecutionОповещение о запуске процесса nmap.Enabled
    RuntimeOpenShift: Kubeadmin Secret AccessedОповещение о доступе к секрету kubeadmin.Enabled
    RuntimePassword BinariesОбнаружение попыток изменения пароля.Disabled
    RuntimeProcess Targeting Cluster Kubelet EndpointОбнаружение неправильного использования kubelet/heapster endpoints.Enabled
    RuntimeProcess Targeting Cluster Kubernetes Docker Stats EndpointОбнаружение неправильного использования docker stats endpoint.Enabled
    RuntimeProcess Targeting Kubernetes Service EndpointОбнаружение неправильного использования Kubernetes Service API endpoint.Enabled
    RuntimeProcess with UID 0Оповещение о процессах с UID 0.Disabled
    RuntimeSecure Shell Server (sshd) ExecutionОбнаружение запуска демона SSH в контейнерах.Enabled
    RuntimeSetUID ProcessesОбнаружение использования setuid бинарников.Disabled
    RuntimeShadow File ModificationОбнаружение изменений файла shadow.Disabled
    RuntimeShell Spawned by Java ApplicationОбнаружение запуска shell как подпроцесса Java-приложений.Enabled
    RuntimeUnauthorized Network FlowОповещение о аномальных сетевых потоках.Enabled
    RuntimeUnauthorized Processed ExecutionОповещение о несанкционированном выполнении процессов в заблокированных базовых линиях.Enabled

    Политики со средним уровнем серьезности

    Lifecycle StagePolicy NameDescriptionStatus
    BuildDocker CIS 4.4: Ensure images are scanned and rebuiltОповещение, если образы не сканируются и не пересобираются с патчами безопасности.Disabled
    Deploy30-Day Scan AgeОповещение, если развертывание не сканировалось в течение 30 дней.Enabled
    DeployCAP_SYS_ADMIN capability addedОповещение при эскалации контейнеров с CAP_SYS_ADMIN.Enabled
    DeployContainer using read-write root filesystemОповещение при использовании контейнерами файловой системы root с правами на запись.Disabled
    DeployContainer with privilege escalation allowedОповещение при разрешении эскалации привилегий в контейнерах.Enabled
    DeployDeployments should have at least one Ingress Network PolicyОповещение при отсутствии у развертываний хотя бы одной Ingress Network Policy.Disabled
    DeployDeployments with externally exposed endpointsОповещение при наличии у развертываний внешне открытых сервисов.Disabled
    DeployDocker CIS 5.1: AppArmor profile enabledОповещение при отключенном AppArmor.Enabled
    DeployDocker CIS 5.15: Host's process namespace not sharedОповещение при совместном использовании пространства процессов хоста.Enabled
    DeployDocker CIS 5.16: Host's IPC namespace not sharedОповещение при совместном использовании IPC пространства хоста.Enabled
    DeployDocker CIS 5.19: Mount propagation mode not enabledОповещение при включенном режиме распространения монтирования.Enabled
    DeployDocker CIS 5.21: Default seccomp profile not disabledОповещение при отключенном профиле seccomp.Disabled
    DeployDocker CIS 5.7: Privileged ports mapped within containersОповещение при пробросе привилегированных портов (<1024).Enabled
    DeployDocker CIS 5.9/5.20: Host's network namespace not sharedОповещение при совместном использовании сетевого пространства хоста.Enabled
    DeployImages with no scansОповещение при отсутствии сканирования образов в развертываниях.Disabled
    RuntimeKubernetes Actions: Port Forward to PodОповещение о запросах port forward через Kubernetes API.Enabled
    DeployMount Container Runtime SocketОповещение при монтировании сокета runtime контейнера.Enabled
    DeployMounting Sensitive Host DirectoriesОповещение при монтировании чувствительных директорий хоста.Enabled
    DeployNo resource requests or limits specifiedОповещение при отсутствии запросов или лимитов ресурсов у контейнеров.Enabled
    DeployPod Service Account Token Automatically MountedОповещение при ненужном монтировании токена сервисного аккаунта по умолчанию.Enabled
    DeployPrivileged ContainerОповещение при запуске контейнеров в привилегированном режиме.Enabled
    Runtimecrontab ExecutionОбнаружение использования crontab.Enabled
    RuntimeNetcat Execution DetectedОбнаружение использования netcat.Enabled
    RuntimeOpenShift: Central Admin Secret AccessedОповещение о доступе к секрету Central Admin.Enabled
    RuntimeOpenShift: Secret Accessed by Impersonated UserОповещение о доступе к секретам от имени подставных пользователей.Enabled
    RuntimeRemote File Copy Binary ExecutionОповещение о запуске инструментов удалённого копирования файлов.Enabled

    Политики с низким уровнем серьезности

    Lifecycle StagePolicy NameDescriptionStatus
    Build/Deploy90-Day Image AgeОповещение, если развертывание не обновлялось в течение 90 дней.Enabled
    Build/DeployADD Command used instead of COPYОповещение при использовании команды ADD вместо COPY в Dockerfile.Disabled
    Build/DeployAlpine Linux Package Manager (apk) in ImageОповещение при наличии apk в образах.Enabled
    Build/DeployCurl in ImageОповещение при наличии curl в образах.Disabled
    Build/DeployDocker CIS 4.1: User for the Container CreatedОбеспечение запуска контейнеров не от root-пользователя.Enabled
    Build/DeployDocker CIS 4.7: Alert on Update InstructionОбеспечение отсутствия одиночного использования инструкции update в Dockerfile.Enabled
    Build/DeployInsecure specified in CMDОповещение при использовании 'insecure' в команде.Enabled
    Build/DeployLatest tagОповещение при использовании тега 'latest' в образах.Enabled
    Build/DeployRed Hat Package Manager in ImageОповещение при наличии менеджеров пакетов Red Hat, Fedora или CentOS.Enabled
    Build/DeployRequired Image LabelОповещение при отсутствии обязательных меток в образах.Disabled
    Build/DeployUbuntu Package Manager ExecutionОбнаружение использования менеджера пакетов Ubuntu.Enabled
    Build/DeployUbuntu Package Manager in ImageОповещение при наличии менеджеров пакетов Debian/Ubuntu в образах.Enabled
    Build/DeployWget in ImageОповещение при наличии wget в образах.Disabled
    DeployDrop All CapabilitiesОповещение при отсутствии сброса всех capabilities в развертываниях.Disabled
    DeployImproper Usage of Orchestrator Secrets VolumeОповещение при использовании 'VOLUME /run/secrets' в Dockerfile.Enabled
    DeployKubernetes Dashboard DeployedОповещение при обнаружении сервиса Kubernetes dashboard.Enabled
    DeployRequired Annotation: EmailОповещение при отсутствии аннотации 'email'.Disabled
    DeployRequired Annotation: Owner/TeamОповещение при отсутствии аннотаций 'owner' или 'team'.Disabled
    DeployRequired Label: Owner/TeamОповещение при отсутствии меток 'owner' или 'team'.Disabled
    RuntimeAlpine Linux Package Manager ExecutionОповещение при запуске apk во время выполнения.Enabled
    Runtimechkconfig ExecutionОбнаружение использования chkconfig.Enabled
    RuntimeCompiler Tool ExecutionОповещение при запуске компиляторов во время выполнения.Enabled
    RuntimeRed Hat Package Manager ExecutionОповещение при запуске менеджеров пакетов Red Hat, Fedora или CentOS во время выполнения.Enabled
    RuntimeShell ManagementОповещение о командах добавления/удаления shell.Disabled
    Runtimesystemctl ExecutionОбнаружение использования systemctl.Enabled
    Runtimesystemd ExecutionОбнаружение использования systemd.Enabled

    Управление политиками по умолчанию

    • Политики по умолчанию обеспечивают широкое покрытие безопасности.
    • Вы можете просматривать, клонировать и редактировать клонированные политики по умолчанию в портале.
    • Политики по умолчанию нельзя удалять или изменять напрямую.

    Примечание: Политики по умолчанию не поддерживаются в функции policies-as-code.