第1章 Red Hat Advanced Cluster Security for Kubernetes 3.70

表1.1 リリース日

RHACS バージョンリリース日

3.70.0

2022 年 6 月 2 日

3.70.1

2022 年 6 月 22 日

3.70.2

2022 年 10 月 5 日

Red Hat Advanced Cluster Security for Kubernetes は、ビルド、デプロイ、ランタイム全体で重要なアプリケーションを保護する、エンタープライズ対応の Kubernetes ネイティブコンテナーセキュリティーソリューションです。インフラストラクチャーにデプロイし、DevOps ツールおよびワークフローと統合して、より優れたセキュリティーとコンプライアンスを提供し、DevOps および InfoSec チームがセキュリティーを運用できるようにします。

重要

2022 年 10 月 20 日に出されたアップストリームの脆弱性フィードで予期しないスキーマが変更され、Red Hat は破損した CVE データファイルを https://definitions.stackrox.io に公開し、多くの Central インスタンスが破損したファイルをダウンロードしました。その結果、Central が破損したフィードデータを処理すると失敗し、CrashLoopBackOff の状態になります。Red Hat は、破損した CVE データファイルを修正する手順をすでに完了していますが、すでに影響を受けている Central インスタンスでは、CrashLoopBackOff の状態から自動で抜け出すことはできません。Central を機能する状態に戻すには、CrashLoopBackOff - 2022-10-20 Incident の Central の手順に従います。

Red HatAdvanced Cluster Security for Kubernetes (RHACS) 3.70 には、機能強化、バグ修正、スケール改善などの変更が含まれています。

1.1. 新機能

1.1.1. Cosign 公開鍵に対するイメージ署名の検証

RHACS を使用して、事前設定されたキーに対してイメージシグネチャーを検証することにより、クラスター内のコンテナーイメージの整合性を確保できます。ポリシーを作成して、署名されていないイメージや署名が確認されていないイメージをブロックし、アドミッションコントローラーを使用して不正な展開の作成を停止することでポリシーを適用することもできます。Cosign 鍵署名検証をサポートします。詳細は、イメージの署名の確認 を参照してください。

1.1.2. 欠落している Kubernetes ネットワークポリシーを特定する

Kubernetes ネットワークポリシーは、クラスター内でゼロトラストネットワークを有効にするために不可欠です。横方向の動きの機会を制限することにより、ネットワーク攻撃の影響を軽減します。デフォルトでは、Kubernetes リソースは分離されていません。ネットワークポリシーを適用することは、ユーザーに任せることをお勧めするベストプラクティスです。

RHACS 3.70 には、入力ネットワークポリシーによって制限されていない展開を簡単に識別し、それに応じて違反アラートをトリガーできる新しいデフォルトポリシーが付属しています。

  • デフォルトのポリシーは、Deployments という名前で、少なくとも 1 つの入力ネットワークポリシーが必要 です。これはデフォルトでは無効にされます。
  • このデフォルトのポリシーは、入力ネットワークポリシーが欠落している場合にアラート と呼ばれる新しいポリシー基準を使用します。
  • Pod 分離ギャップを特定するには、このデフォルトポリシーのクローンを作成するか、ポリシー基準を使用して選択したリソースで有効にすることにより、新しいポリシーを作成します。