3.2. リスクビューからのセキュリティーポリシーの作成
リスク ビューで展開のリスクを評価しているときに、ローカルページフィルターリングを適用すると、使用しているフィルターリング基準をもとに新しいセキュリティーポリシーを作成できます。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Risk を選択します。
- ポリシーを作成するローカルページのフィルターリング条件を適用します。
- New Policy を選択し、必須フィールドに入力して新規ポリシーを作成します。
3.2.1. Red Hat Advanced Cluster Security for Kubernetes がフィルターリング基準をポリシー条件に変換する方法について
使用するフィルター条件に基づいて、リスク ビューから新しいセキュリティーポリシーを作成する場合には、すべての基準が新しいポリシーに直接適用されるわけではありません。
Red Hat Advanced Cluster Security for Kubernetes は、Cluster、Namespace、および Deployment フィルターを同等のポリシースコープに変換します。
Risk ビューのローカルページのフィルターリングでは、以下の方法を使用して検索用語を組み合わせます。
-
同じカテゴリーの検索用語と
OR演算子を組み合わせます。たとえば、検索クエリーがCluster:A,Bの場合には、フィルターはcluster Aまたはcluster B. のデプロイメントが返されます。 -
異なるカテゴリーの検索用語と
AND演算子を組み合わせます。たとえば、検索クエリーがCluster:A+Namespace:Zの場合には、フィルターはクラスター Aおよびnamespace Zのデプロイメントがマッチします。
-
同じカテゴリーの検索用語と
複数のスコープをポリシーに追加すると、このポリシーはすべてのスコープからの違反がマッチします。
-
たとえば、
(Cluster A OR Cluster B)AND(Namespace Z)を検索すると、2 つのポリシースコープ(Cluster=A AND Namespace=Z)または(Cluster=B AND Namespace=Z)が結果として返されます。
-
たとえば、
- Red Hat Advanced Cluster Security for Kubernetes は、ポリシー条件に直接マップされないフィルターをドロップまたは変更し、ドロップされたフィルターを報告します。
次の表では、フィルターリング検索属性をポリシー基準にマップする方法を示します。
| 検索属性 | ポリシー基準 |
|---|---|
| Add Capabilities | Add Capabilities |
| Annotation | 拒否されたアノテーション |
| CPU Cores Limit | コンテナーの CPU 制限 |
| CPU Cores Request | コンテナーの CPU 要求 |
| CVE | CVE |
| CVE Published On | ✕ 廃止 |
| CVE Snoozed | ✕ 廃止 |
| CVSS | CVSS |
| Cluster | ⟳ スコープに変換 |
| Component | イメージコンポーネント (名前) |
| コンポーネントのバージョン | イメージコンポーネント (バージョン) |
| デプロイメント | ⟳ スコープに変換 |
| デプロイメントタイプ | ✕ 廃止 |
| Dockerfile Instruction Keyword | Dockerfile 行 (キー) |
| Dockerfile Instruction Value | Dockerfile 行 (値) |
| Drop Capabilities | ✕ 廃止 |
| Environment Key | 環境変数 (キー) |
| Environment Value | 環境変数 (値) |
| Environment Variable Source | 環境変数 (ソース) |
| Exposed Node Port | ✕ 廃止 |
| Exposing Service | ✕ 廃止 |
| Exposing Service Port | ✕ 廃止 |
| Exposure Level | ポートの公開 |
| External Hostname | ✕ 廃止 |
| External IP | ✕ 廃止 |
| Image | ✕ 廃止 |
| Image Command | ✕ 廃止 |
| Image Created Time | イメージ作成からの日数 |
| Image Entrypoint | ✕ 廃止 |
| Image Label | 許可されていないイメージラベル |
| Image OS | イメージ OS |
| Image Pull Secret | ✕ 廃止 |
| Image Registry | イメージレジストリー |
| Image Remote | イメージリモート |
| Image Scan Time | イメージが最後にスキャンされた後の日数 |
| Image Tag | Image Tag |
| Image Top CVSS | ✕ 廃止 |
| Image User | ✕ 廃止 |
| Image Volumes | ✕ 廃止 |
| Label | ⟳ スコープに変換 |
| Max Exposure Level | ✕ 廃止 |
| Memory Limit (MB) | コンテナーのメモリー制限 |
| Memory Request (MB) | コンテナーのメモリー要求 |
| Namespace | ⟳ スコープに変換 |
| Namespace ID | ✕ 廃止 |
| Pod Label | ✕ 廃止 |
| Port | ポート |
| Port Protocol | プロトコル |
| Priority | ✕ 廃止 |
| Privileged | 特権 |
| Process Ancestor | プロセスの祖先 |
| Process Arguments | プロセス引数 |
| Process Name | プロセス名 |
| Process Path | ✕ 廃止 |
| Process Tag | ✕ 廃止 |
| Process UID | プロセス UID |
| Read Only Root Filesystem | 読み取り専用ルートファイルシステム |
| Secret | ✕ 廃止 |
| Secret Path | ✕ 廃止 |
| Service Account | ✕ 廃止 |
| Service Account Permission Level | 最小 RBAC パーミッションレベル |
| Toleration Key | ✕ 廃止 |
| Toleration Value | ✕ 廃止 |
| Volume Destination | ボリュームの宛先 |
| Volume Name | ボリューム名 |
| Volume ReadOnly | 書き込み可能なボリューム |
| Volume Source | ボリュームソース |
| Volume Type | ボリュームタイプ |
