3.6. プロセスベースラインの使用
インフラストラクチャーセキュリティーにプロセスベースを使用して、リスクを最小限に抑えることができます。この方法では、Red Hat Advanced Cluster Security for Kubernetes はまず既存のプロセスを検出し、ベースラインを作成します。その後、デフォルトの deny-all モードで動作し、ベースラインに一覧表示されているプロセスのみを実行できます。
<discreet><title>プロセスベースライン</title>Red Hat Advanced Cluster Security for Kubernetes をインストールすると、デフォルトのプロセスベースラインはありません。Red Hat Advanced Cluster Security for Kubernetes がデプロイメントを検出すると、デプロイメントの全コンテナータイプのプロセスベースラインが作成されます。次に、検出されたすべてのプロセスを独自のプロセスベースラインに追加します。
</discreet><discreet><title>プロセスベースラインの状態</title>プロセス検出フェーズでは、すべてのベースラインがロック解除された状態になります。
ロック解除 の状態:
- Red Hat Advanced Cluster Security for Kubernetes が新しいプロセスを検出すると、そのプロセスをプロセスベースラインに追加します。
- プロセスはリスクとして表示されず、違反は発生しません。
Red Hat Advanced Cluster Security for Kubernetes がデプロイメントのコンテナーから最初のプロセスインジケーターを受け取ってから 1 時間後に、プロセス検出フェーズを終了します。この時点で、以下が行われます。
- Red Hat Advanced Cluster Security for Kubernetes は、プロセスのベースラインへのプロセスの追加を停止します。
- プロセスベースラインにない新しいプロセスはリスクとして表示されますが、違反はトリガーしません。
違反を生成するには、プロセスベースラインを手動でロックする必要があります。
ロック 状態:
- Red Hat Advanced Cluster Security for Kubernetes は、プロセスのベースラインへのプロセスの追加を停止します。
- プロセスベースラインにない新しいプロセスは違反をトリガーします。
ベースラインがロックされているかどうかに関係なく、ベースラインからいつでもプロセスを追加または削除できます。
デプロイメントで、各 Pod のコンテナーに複数のコンテナーがある場合には、Red Hat Advanced Cluster Security for Kubernetes は各コンテナータイプごとにプロセスベースラインを作成します。ベースラインがロックされいるものと、ロック解除されているものがあるデプロイメントの場合には、そのデプロイメントのベースラインステータスは Mixed と表示されます。
3.6.1. プロセスベースラインの表示
Risk ビューからプロセスベースラインを表示できます。
手順
- RHACS ポータルで、ナビゲーションメニューから Risk を選択します。
- デフォルトの Risk ビューのデプロイメント一覧からデプロイメントを選択します。デプロイメントの詳細が、右側のパネルで開きます。
- Deployment details パネルで、Process Discovery タブを選択します。
- プロセスベースラインは Spec Container Baselines セクションに表示されます。