#Просмотр и управление политиками безопасности

Alauda Security Service предлагает как политики безопасности по умолчанию, так и настраиваемые политики, чтобы помочь вам предотвращать развертывания с высоким риском и реагировать на инциденты во время выполнения в контейнерной среде.

#Страница управления политиками

Основная точка входа для политик — Platform Configuration > Policy Management. В текущем интерфейсе страница включает:

• Create policy
• Import policy
• Bulk actions
• Reassess all

Таблица политик включает такие поля, как:

• Policy
• Status
• Origin
• Notifiers
• Severity
• Lifecycle

Используйте эту страницу для просмотра системных политик и политик, определённых пользователем, фильтрации списка, импорта JSON-описаний политик и запуска повторной оценки существующих развертываний.

#Категории политик

Политики организованы по категориям, чтобы упростить фильтрацию и управление. В текущей среде к распространённым категориям относятся:

• Anomalous Activity
• Cryptocurrency Mining
• DevOps Best Practices
• Docker CIS
• Kubernetes
• Kubernetes Events
• Network Tools
• Package Management
• Privileges
• Security Best Practices
• Supply Chain Security
• System Modification
• Vulnerability Management
• Zero Trust

#Этапы жизненного цикла политики

При создании или редактировании политики можно указать один или несколько этапов жизненного цикла:

• Build: Проверяет поля образа, такие как CVE и инструкции Dockerfile
• Deploy: Включает проверки на этапе Build, а также проверки конфигурации кластера и workload
• Runtime: Добавляет проверки выполнения процессов, событий времени выполнения и поведения во время выполнения

#Распространённые задачи управления политиками

#Создание политик

Используйте Create policy, чтобы открыть поток определения политики. В текущем интерфейсе этот поток включает:

• Details
• Lifecycle
• Rules
• Policy behavior
• Scope
• Actions
• Review

#Импорт политик

Используйте Import policy, чтобы загрузить JSON-определение политики в текущий экземпляр Central.

#Повторная оценка существующих развертываний

Используйте Reassess all после обновления политик, если нужно, чтобы платформа повторно оценила существующие развертывания в соответствии с текущим набором политик.

#Применение политик

Alauda Security Service поддерживает несколько типов применения в зависимости от этапа политики:

• Build-time enforcement: Проверки CI завершаются с ошибкой, если образ нарушает политику
• Deploy-time enforcement: Использует admission enforcement для блокировки или изменения несоответствующих workload
• Runtime enforcement: Срабатывает при обнаружении соответствующей активности во время выполнения

Deploy-time enforcement может быть:

• Hard enforcement: admission controller блокирует создание или обновление развертываний с нарушениями
• Soft enforcement: Sensor масштабирует развертывания с нарушениями до 0 реплик

Примечание: По умолчанию административные namespaces, такие как stackrox, kube-system, cpaas-system и istio-system, исключены из блокирующего применения. Запросы от service accounts в системных namespaces также обходят это ограничение.

Чтобы применить изменения политик к существующим развертываниям, используйте Policy Management > Reassess all.

#Экспорт и импорт политик

Вы можете обмениваться политиками между экземплярами Central, экспортируя и импортируя JSON-файлы.

#Экспорт политики

1. Перейдите в Platform Configuration > Policy Management
2. Выберите политику для экспорта
3. Откройте доступные действия и экспортируйте политику в формате JSON

#Импорт политики

1. Перейдите в Platform Configuration > Policy Management
2. Нажмите Import policy
3. Загрузите JSON-файл и нажмите Begin Import

Обработка импорта зависит от того, совпадают ли имя политики и UID входящей политики с существующей политикой в текущем экземпляре Central.