6.4. ネットワークベースラインの使用
Red Hat Advanced Cluster Security for Kubernetes では、ネットワークベースラインを使用してリスクを最小限に抑えることができます。インフラストラクチャーをセキュアに保つためのプロアクティブなアプローチです。Red Hat Advanced Cluster Security for Kubernetes は、まず既存のネットワークフローを検出し、ベースラインを作成し、このベースライン以外でネットワークフローを異常として扱います。
- ネットワークベースライン 機能を使用するには、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.54 以降を使用する必要があります。
- ベースライン違反のアラートを有効にするには、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.56 以降を使用する必要があります。
Red Hat Advanced Cluster Security for Kubernetes をインストールすると、デフォルトのネットワークベースラインはありません。Red Hat Advanced Cluster Security for Kubernetes がネットワークフローを検出すると、ベースラインが作成され、検出されたすべてのネットワークフローが追加されます。
- Red Hat Advanced Cluster Security for Kubernetes が新しいネットワークアクティビティーを検出すると、そのネットワークフローをネットワークベースラインに追加します。
- ネットワークフローは、異常なフローとして表示されず、違反は発生しません。
検出フェーズ後:
- Red Hat Advanced Cluster Security for Kubernetes は、ネットワークベースラインへのネットワークフローの追加を停止します。
- 新しいネットワークフロー (ネットワークベースラインにない) は、異常なフローとして表示されますが、違反は発生しません。
6.4.1. ネットワークベースラインの表示
ネットワークグラフビューからネットワークベースラインを表示できます。
手順
- Network Graph ビューで、namespace を 1 つ以上選択します。
- デプロイメントを選択します。
ネットワークフローの詳細パネルには、異常なフローとベースラインフローの両方が表示されます。このパネルから、以下を行うことができます。
- ベースラインからネットワークフローに、Mark as Anomalous のどちらかとマークします。
- Add to Baseline を選択して、異常なフローからネットワークフローをベースラインに追加します。
6.4.2. ベースライン違反でのアラートの有効化
Red Hat Advanced Cluster Security for Kubernetes を設定して、異常なネットワークフローを検出し、違反をトリガーできます。
ベースライン違反のアラートを有効にするには、Kubernetes バージョン 3.0.56 以降の Red Hat Advanced Cluster Security が必要です。
手順
- Network Graph ビューでデプロイメントを選択します。
- ネットワークフローの詳細パネルで Baseline Settings を選択します。
Alert on baseline violations トグルをオンにします。
- ベースライン違反のアラート をオンにすると、異常なネットワークフローが違反をトリガーします。
- Alert on baseline violations トグルをオフにして、異常なネットワークフローの違反の受信を停止できます。