Alauda Container Security
  • Русский

    • Реагирование на нарушения

    Alauda Container Security помогает просматривать, исследовать и устранять нарушения политики.

    Встроенные политики обнаруживают уязвимости (CVE), нарушения лучших практик DevOps, рискованные действия при сборке/развертывании и подозрительное поведение во время выполнения. Нарушения фиксируются, когда включенные политики не соблюдаются.

    Понимание условий пространства имён помогает управлять тем, какие пространства имён принадлежат Alauda Container Platform, дополнительным продуктам и сторонним партнёрам.

    Содержание

    Условия пространства имён для компонентов платформыПросмотр нарушенийДетали нарушенияВкладка ViolationВкладка DeploymentКонфигурация контейнераКонфигурация портовSecurity ContextNetwork PolicyВкладка PolicyОбзор политикиПоведение политикиКритерии политики

    Условия пространства имён для компонентов платформы

    Компонент платформыУсловие пространства имён
    Alauda Container PlatformNamespace = cpaas-system, Namespace начинается с kube-
    Дополнительные продуктыNamespace = stackrox, Namespace начинается с acs-operator, Namespace начинается с open-cluster-management, Namespace = multicluster-engine, Namespace = aap, Namespace = hive
    Сторонние партнёрыNamespace = nvidia-gpu-operator

    Alauda Container Security использует следующий регулярное выражение для идентификации рабочих нагрузок платформы:

    ^kube-.*|^alauda-.*|^stackrox$|^acs-operator$|^open-cluster-management$|^multicluster-engine$|^aap$|^hive$|^nvidia-gpu-operator$|^cpaas-system$

    Это определение не подлежит настройке. Чтобы увидеть его действие:

    1. Нажмите Search в портале.
    2. Выберите Show Orchestrator Components.
    3. Отфильтруйте по Platform Component: true.

    Просмотр нарушений

    1. В портале нажмите Violations.
    2. Вкладки позволяют просматривать нарушения по категориям:
      • User Workloads: Рабочие нагрузки, управляемые пользователем
      • Platform: Платформа и дополнительные сервисы
      • All Violations: Все, включая нарушения в журнале аудита
    3. Вкладки позволяют просматривать по типу:
      • Active: Нерешённые или в процессе сборки/развертывания
      • Resolved: Устранённые или решённые вручную
      • Attempted: Заблокированные принудительными политиками
    4. Сортируйте, фильтруйте и просматривайте детали по необходимости.
    5. Чтобы исключить развертывания из политики:
      • Для одного: используйте меню переполнения, выберите Exclude deployment from policy
      • Для нескольких: используйте Row actions > Exclude deployments from policy

    Детали нарушения

    Страница Violations отображает:

    • Policy: Название нарушенной политики
    • Entity: Место нарушения
    • Type: Тип сущности (например, Deployment, Pod, DaemonSet, Secrets, ConfigMaps, ClusterRoles)
    • Enforced: Было ли применено принуждение
    • Severity: Low, Medium, High, Critical
    • Categories: Категория политики
    • Lifecycle: Build, Deploy, Runtime
    • Time: Время возникновения нарушения

    Выбор нарушения открывает панель с деталями:

    Вкладка Violation

    Показывает, как была нарушена политика, включая конкретные значения или детали процессов во время выполнения.

    Вкладка Deployment

    Отображает детали развертывания:

    • Deployment ID/Name/Type
    • Cluster/Namespace/Replicas
    • Время создания/обновления
    • Labels/Annotations/Service Account

    Конфигурация контейнера

    • Image Name
    • Resources: Запросы и лимиты CPU/памяти
    • Volumes
    • Secrets: Имя и путь в контейнере
    • Детали томов: Имя, источник, назначение, тип

    Конфигурация портов

    • containerPort
    • protocol
    • exposure
    • exposureInfo: Внутренний/внешний, имя/ID сервиса, IP кластера, порт сервиса, порт узла, внешние IP

    Security Context

    • Privileged: true или false

    Network Policy

    • Список пространств имён и сетевых политик; нажмите имя политики для просмотра YAML

    Вкладка Policy

    Отображает детали политики, вызвавшей нарушение.

    Обзор политики

    • Severity
    • Categories
    • Type: Пользовательская или системная политика
    • Description
    • Rationale
    • Guidance
    • MITRE ATT&CK: Связанные тактики/техники

    Поведение политики

    • Lifecycle Stage: Build, Deploy, Runtime
    • Event Source (для Runtime):
      • Deployment: Запускается процессом/сетевой активностью, выполнением пода или пробросом портов
      • Audit logs: Запускается совпадающими записями журнала аудита
    • Response:
      • Inform: Генерирует нарушение
      • Inform and enforce: Применяется принуждение
    • Enforcement:
      • Build: Прерывает CI-сборки для несоответствующих образов
      • Deploy: Блокирует создание/обновление несоответствующих развертываний, если включён admission controller
      • Runtime: Удаляет поды при совпадении событий с критериями политики

    Критерии политики

    Alauda Container Security поддерживает два типа принудительного применения во время развертывания:

    • Hard Enforcement: Admission controller блокирует создание или обновление нарушающих развертываний
    • Soft Enforcement: Sensor масштабирует количество реплик до 0 для нарушающих развертываний

    Примечание: По умолчанию определённые административные пространства имён (например, stackrox, kube-system, cpaas-system, istio-system) исключены из принуждения. Запросы от сервисных аккаунтов в системных пространствах имён также обходятся.

    Для существующих развертываний изменения политики применяются при следующем соответствующем событии Kubernetes. Чтобы повторно оценить, перейдите в Policy Management и нажмите Reassess All.