3.2. リスクビューからのセキュリティーポリシーの作成
リスク ビューで展開のリスクを評価しているときに、ローカルページフィルターリングを適用すると、使用しているフィルターリング基準をもとに新しいセキュリティーポリシーを作成できます。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Risk を選択します。
- ポリシーを作成するローカルページのフィルターリング条件を適用します。
- New Policy を選択し、必須フィールドに入力して新規ポリシーを作成します。
3.2.1. Red Hat Advanced Cluster Security for Kubernetes がフィルターリング基準をポリシー条件に変換する方法について
使用するフィルター条件に基づいて、リスク ビューから新しいセキュリティーポリシーを作成する場合には、すべての基準が新しいポリシーに直接適用されるわけではありません。
Red Hat Advanced Cluster Security for Kubernetes は、Cluster、Namespace、および Deployment フィルターを同等のポリシースコープに変換します。
Risk ビューのローカルページのフィルターリングでは、以下の方法を使用して検索用語を組み合わせます。
-
同じカテゴリーの検索用語と
OR
演算子を組み合わせます。たとえば、検索クエリーがCluster:A,B
の場合には、フィルターはcluster A
またはcluster B
. のデプロイメントが返されます。 -
異なるカテゴリーの検索用語と
AND
演算子を組み合わせます。たとえば、検索クエリーがCluster:A+Namespace:Z
の場合には、フィルターはクラスター A
およびnamespace Z
のデプロイメントがマッチします。
-
同じカテゴリーの検索用語と
複数のスコープをポリシーに追加すると、このポリシーはすべてのスコープからの違反がマッチします。
-
たとえば、
(Cluster A OR Cluster B)AND(Namespace Z)
を検索すると、2 つのポリシースコープ(Cluster=A AND Namespace=Z)
または(Cluster=B AND Namespace=Z)
が結果として返されます。
-
たとえば、
- Red Hat Advanced Cluster Security for Kubernetes は、ポリシー条件に直接マップされないフィルターをドロップまたは変更し、ドロップされたフィルターを報告します。
次の表では、フィルターリング検索属性をポリシー基準にマップする方法を示します。
検索属性 | ポリシー基準 |
---|---|
Add Capabilities | Add Capabilities |
Annotation | 拒否されたアノテーション |
CPU Cores Limit | コンテナーの CPU 制限 |
CPU Cores Request | コンテナーの CPU 要求 |
CVE | CVE |
CVE Published On | ✕ 廃止 |
CVE Snoozed | ✕ 廃止 |
CVSS | CVSS |
Cluster | ⟳ スコープに変換 |
Component | イメージコンポーネント (名前) |
コンポーネントのバージョン | イメージコンポーネント (バージョン) |
デプロイメント | ⟳ スコープに変換 |
デプロイメントタイプ | ✕ 廃止 |
Dockerfile Instruction Keyword | Dockerfile 行 (キー) |
Dockerfile Instruction Value | Dockerfile 行 (値) |
Drop Capabilities | ✕ 廃止 |
Environment Key | 環境変数 (キー) |
Environment Value | 環境変数 (値) |
Environment Variable Source | 環境変数 (ソース) |
Exposed Node Port | ✕ 廃止 |
Exposing Service | ✕ 廃止 |
Exposing Service Port | ✕ 廃止 |
Exposure Level | ポートの公開 |
External Hostname | ✕ 廃止 |
External IP | ✕ 廃止 |
Image | ✕ 廃止 |
Image Command | ✕ 廃止 |
Image Created Time | イメージ作成からの日数 |
Image Entrypoint | ✕ 廃止 |
Image Label | 許可されていないイメージラベル |
Image OS | イメージ OS |
Image Pull Secret | ✕ 廃止 |
Image Registry | イメージレジストリー |
Image Remote | イメージリモート |
Image Scan Time | イメージが最後にスキャンされた後の日数 |
Image Tag | Image Tag |
Image Top CVSS | ✕ 廃止 |
Image User | ✕ 廃止 |
Image Volumes | ✕ 廃止 |
Label | ⟳ スコープに変換 |
Max Exposure Level | ✕ 廃止 |
Memory Limit (MB) | コンテナーのメモリー制限 |
Memory Request (MB) | コンテナーのメモリー要求 |
Namespace | ⟳ スコープに変換 |
Namespace ID | ✕ 廃止 |
Pod Label | ✕ 廃止 |
Port | ポート |
Port Protocol | プロトコル |
Priority | ✕ 廃止 |
Privileged | 特権 |
Process Ancestor | プロセスの祖先 |
Process Arguments | プロセス引数 |
Process Name | プロセス名 |
Process Path | ✕ 廃止 |
Process Tag | ✕ 廃止 |
Process UID | プロセス UID |
Read Only Root Filesystem | 読み取り専用ルートファイルシステム |
Secret | ✕ 廃止 |
Secret Path | ✕ 廃止 |
Service Account | ✕ 廃止 |
Service Account Permission Level | 最小 RBAC パーミッションレベル |
Toleration Key | ✕ 廃止 |
Toleration Value | ✕ 廃止 |
Volume Destination | ボリュームの宛先 |
Volume Name | ボリューム名 |
Volume ReadOnly | 書き込み可能なボリューム |
Volume Source | ボリュームソース |
Volume Type | ボリュームタイプ |