Alauda Security Service
  • Русский

    • Политики по умолчанию в Alauda Security Service

    Alauda Security Service предоставляет встроенные системные политики, которые помогают предотвращать развертывания с высоким риском и реагировать на инциденты во время выполнения в средах Kubernetes. Эти политики охватывают распространенные проверки уязвимостей, конфигурации, среды выполнения и цепочки поставок и служат базовым уровнем для повседневного управления политиками.

    Содержание

    ОбзорПросмотр политикСтруктура таблицы политикПолитики критического уровняПолитики высокого уровня серьезностиПолитики среднего уровня серьезностиПолитики низкого уровня серьезностиУправление политиками по умолчанию

    Обзор

    Политики по умолчанию охватывают весь жизненный цикл контейнера: сборку, развертывание и среду выполнения. Вы можете просмотреть их в разделе Конфигурация платформы > Управление политиками, клонировать их, а затем адаптировать клонированные копии под свою среду. Политики по умолчанию нельзя удалять или редактировать напрямую.

    Точный набор политик может различаться в зависимости от версии, включенных интеграций и импортированного содержимого. В таблицах ниже приведены сводные сведения о политиках по умолчанию, которые обычно присутствуют в поддерживаемых развертываниях.

    Просмотр политик

    1. В портале перейдите в Конфигурация платформы > Управление политиками.
    2. Просмотрите таблицу Policies и используйте фильтры, поиск или категории, чтобы сузить список.
    3. Используйте действия в строке или страницу сведений о политике, чтобы просмотреть логику политики или клонировать политику по умолчанию.

    Структура таблицы политик

    • Политика: имя политики
    • Описание: что политика обнаруживает или применяет
    • Статус: Включено или Отключено
    • Степень серьезности: Critical, High, Medium или Low
    • Жизненный цикл: Build, Deploy или Runtime

    Политики критического уровня

    Этап жизненного циклаИмя политикиОписаниеСтатус
    Build/DeployApache Struts: CVE-2017-5638Оповещает об образах с уязвимостью Apache Struts CVE-2017-5638.Включено
    Build/DeployLog4Shell: удаленное выполнение кода в log4jОповещает об образах с уязвимостями CVE-2021-44228 и CVE-2021-45046.Включено
    Build/DeploySpring4Shell и Spring Cloud FunctionОповещает об образах с CVE-2022-22965 (Spring MVC) или CVE-2022-22963 (Spring Cloud).Включено
    RuntimeIptables, выполняемый в привилегированном контейнереОповещает, когда привилегированные Pod запускают iptables.Включено

    Политики высокого уровня серьезности

    Этап жизненного циклаИмя политикиОписаниеСтатус
    Build/DeployИсправимые уязвимости с CVSS >= 7Оповещает об исправимых уязвимостях с CVSS ≥ 7.Отключено
    Build/DeployИсправимые уязвимости с уровнем не ниже ImportantОповещает об исправимых уязвимостях уровня Important и выше.Включено
    Build/DeployRapid Reset: уязвимость DoS в HTTP/2Оповещает об образах, подверженных DoS-атаке HTTP/2 Rapid Reset.Отключено
    Build/DeployОткрыт порт Secure Shell (ssh) в образеОповещает, когда в образах открыт порт 22.Включено
    DeployАварийная аннотация развертыванияОповещает о развертываниях, использующих аварийные аннотации для обхода проверок admission.Включено
    DeployПеременная среды содержит SecretОповещает, когда переменные среды содержат 'SECRET'.Включено
    DeployИсправимые уязвимости CVSS >= 6 и PrivilegedОповещает о привилегированных развертываниях с исправимыми уязвимостями CVSS ≥ 6.Отключено
    DeployПривилегированные контейнеры с исправимыми CVE уровня Important и CriticalОповещает о привилегированных контейнерах с исправимыми уязвимостями уровня important/critical.Включено
    DeploySecret смонтирован как переменная средыОповещает, когда Secret монтируются как переменные среды.Отключено
    DeployОткрыт порт Secure Shell (ssh)Оповещает, когда в развертываниях открыт порт 22.Включено
    RuntimeВыполнение процесса майнинга криптовалютыОбнаруживает процессы майнинга криптовалюты.Включено
    RuntimeВыполнение iptablesОбнаруживает использование iptables в контейнерах.Включено
    RuntimeДействия Kubernetes: exec в PodОповещает о командах exec, выполняемых в контейнерах через Kubernetes API.Включено
    RuntimeВыполнение Linux Group AddОбнаруживает использование groupadd/addgroup.Включено
    RuntimeВыполнение Linux User AddОбнаруживает использование useradd/adduser.Включено
    RuntimeLogin BinariesОбнаруживает попытки входа в систему.Отключено
    RuntimeВыполнение управления сетьюОбнаруживает команды настройки сети.Включено
    RuntimeВыполнение nmapОповещает о выполнении процесса nmap.Включено
    RuntimeOpenShift: доступ к Secret kubeadminОповещает о доступе к Secret kubeadmin.Включено
    RuntimePassword BinariesОбнаруживает попытки изменения пароля.Отключено
    RuntimeПроцесс, нацеленный на endpoint kubelet кластераОбнаруживает злоупотребление endpoint'ами kubelet/heapster.Включено
    RuntimeПроцесс, нацеленный на endpoint Kubernetes Docker stats кластераОбнаруживает злоупотребление endpoint'ом docker stats.Включено
    RuntimeПроцесс, нацеленный на endpoint Kubernetes ServiceОбнаруживает злоупотребление endpoint'ом API Kubernetes Service.Включено
    RuntimeПроцесс с UID 0Оповещает о процессах, выполняемых с UID 0.Отключено
    RuntimeВыполнение Secure Shell Server (sshd)Обнаруживает выполнение демона SSH в контейнерах.Включено
    RuntimeПроцессы SetUIDОбнаруживает использование бинарных файлов setuid.Отключено
    RuntimeИзменение файла shadowОбнаруживает изменения файла shadow.Отключено
    RuntimeShell, запущенный приложением JavaОбнаруживает shell, запущенный как дочерний процесс приложений Java.Включено
    RuntimeНесанкционированный сетевой потокОповещает об аномальных сетевых потоках.Включено
    RuntimeНесанкционированное выполнение процессаОповещает о несанкционированном выполнении процессов в заблокированных базовых образах.Включено

    Политики среднего уровня серьезности

    Этап жизненного циклаИмя политикиОписаниеСтатус
    BuildDocker CIS 4.4: Ensure images are scanned and rebuiltОповещает, если образы не сканируются и не пересобираются с исправлениями безопасности.Отключено
    Deploy30-Day Scan AgeОповещает, если развертывание не сканировалось в течение 30 дней.Включено
    DeployДобавлена capability CAP_SYS_ADMINОповещает, если контейнеры повышают привилегии с помощью CAP_SYS_ADMIN.Включено
    DeployКонтейнер использует root файловую систему с записьюОповещает, если у контейнеров root файловая система доступна для записи.Отключено
    DeployВ контейнере разрешено повышение привилегийОповещает, если в контейнерах разрешено повышение привилегий.Включено
    DeployРазвертывания должны иметь как минимум одну Ingress Network PolicyОповещает, если у развертываний отсутствует Ingress Network Policy.Отключено
    DeployРазвертывания с внешне доступными endpoint'амиОповещает, если у развертываний есть внешне доступные сервисы.Отключено
    DeployDocker CIS 5.1: включен профиль AppArmorОповещает, если AppArmor не включен.Включено
    DeployDocker CIS 5.15: namespace процессов хоста не совместно используетсяОповещает, если namespace процессов хоста совместно используется.Включено
    DeployDocker CIS 5.16: namespace IPC хоста не совместно используетсяОповещает, если namespace IPC хоста совместно используется.Включено
    DeployDocker CIS 5.19: режим распространения монтирования не включенОповещает, если включен режим распространения монтирования.Включено
    DeployDocker CIS 5.21: профиль seccomp по умолчанию не отключенОповещает, если профиль seccomp отключен.Отключено
    DeployDocker CIS 5.7: привилегированные порты сопоставлены внутри контейнеровОповещает, если сопоставлены привилегированные порты (<1024).Включено
    DeployDocker CIS 5.9/5.20: namespace сети хоста не совместно используетсяОповещает, если namespace сети хоста совместно используется.Включено
    DeployОбразы без сканированийОповещает, если образы в развертываниях не сканируются.Отключено
    RuntimeДействия Kubernetes: Port Forward в PodОповещает о запросах port forward через Kubernetes API.Включено
    DeployМонтирование сокета Container RuntimeОповещает, если смонтирован сокет Container Runtime.Включено
    DeployМонтирование чувствительных каталогов хостаОповещает, если смонтированы чувствительные каталоги хоста.Включено
    DeployНе указаны requests или limits ресурсовОповещает, если у контейнеров отсутствуют requests/limits ресурсов.Включено
    DeployТокен ServiceAccount Pod автоматически смонтированОповещает, если токен default service account смонтирован без необходимости.Включено
    DeployПривилегированный контейнерОповещает, если контейнеры работают в привилегированном режиме.Включено
    RuntimeВыполнение crontabОбнаруживает использование crontab.Включено
    RuntimeОбнаружено выполнение netcatОбнаруживает использование netcat.Включено
    RuntimeOpenShift: доступ к Secret Central AdminОповещает о доступе к Secret Central Admin.Включено
    RuntimeOpenShift: Secret доступен имперсонированным пользователемОповещает о доступе к Secret со стороны имперсонированных пользователей.Включено
    RuntimeВыполнение бинарного файла удаленного копированияОповещает о выполнении инструмента удаленного копирования файлов.Включено

    Политики низкого уровня серьезности

    Этап жизненного циклаИмя политикиОписаниеСтатус
    Build/Deploy90-Day Image AgeОповещает, если развертывание не обновлялось в течение 90 дней.Включено
    Build/DeployADD Command used instead of COPYОповещает, если в Dockerfile используется команда ADD.Отключено
    Build/DeployМенеджер пакетов Alpine Linux (apk) в образеОповещает, если в образах присутствует apk.Включено
    Build/DeployCurl in ImageОповещает, если в образах присутствует curl.Отключено
    Build/DeployDocker CIS 4.1: User for the Container CreatedОбеспечивает запуск контейнеров от непривилегированных пользователей.Включено
    Build/DeployDocker CIS 4.7: Alert on Update InstructionОбеспечивает, чтобы инструкции update не использовались в Dockerfile отдельно.Включено
    Build/DeployInsecure specified in CMDОповещает, если в команде используется 'insecure'.Включено
    Build/DeployТег latestОповещает, если в образах используется тег 'latest'.Включено
    Build/DeployМенеджер пакетов Red Hat в образеОповещает, если присутствуют менеджеры пакетов Red Hat, Fedora или CentOS.Включено
    Build/DeployRequired Image LabelОповещает, если в образах отсутствуют обязательные метки.Отключено
    Build/DeployВыполнение менеджера пакетов UbuntuОбнаруживает использование менеджера пакетов Ubuntu.Включено
    Build/DeployМенеджер пакетов Ubuntu в образеОповещает, если в образах присутствуют менеджеры пакетов Debian/Ubuntu.Включено
    Build/DeployWget in ImageОповещает, если в образах присутствует wget.Отключено
    DeployСброс всех capabilitiesОповещает, если в развертываниях не сбрасываются все capabilities.Отключено
    DeployНекорректное использование тома Secrets оркестратораОповещает, если в Dockerfile используется 'VOLUME /run/secrets'.Включено
    DeployРазвернут Kubernetes DashboardОповещает, если обнаружен сервис Kubernetes Dashboard.Включено
    DeployОбязательная аннотация: EmailОповещает, если отсутствует аннотация 'email'.Отключено
    DeployОбязательная аннотация: Owner/TeamОповещает, если отсутствует аннотация 'owner' или 'team'.Отключено
    DeployОбязательная метка: Owner/TeamОповещает, если отсутствует метка 'owner' или 'team'.Отключено
    RuntimeВыполнение менеджера пакетов Alpine LinuxОповещает, если apk запускается во время выполнения.Включено
    RuntimeВыполнение chkconfigОбнаруживает использование chkconfig.Включено
    RuntimeВыполнение инструмента компиляцииОповещает, если бинарные файлы компилятора запускаются во время выполнения.Включено
    RuntimeВыполнение менеджера пакетов Red HatОповещает, если во время выполнения запускаются менеджеры пакетов Red Hat, Fedora или CentOS.Включено
    RuntimeУправление shellОповещает о командах добавления/удаления shell.Отключено
    RuntimeВыполнение systemctlОбнаруживает использование systemctl.Включено
    RuntimeВыполнение systemdОбнаруживает использование systemd.Включено

    Управление политиками по умолчанию

    • Политики по умолчанию обеспечивают широкое покрытие безопасности.
    • В портале вы можете просматривать, клонировать и редактировать клонированные политики по умолчанию.
    • Политики по умолчанию нельзя удалять или изменять напрямую.