7.2. 重大度の高いセキュリティーポリシー
以下の表は、Red Hat Advanced Cluster Security for Kubernetes の重大度の高いデフォルトのセキュリティーポリシーを示しています。ポリシーは、ライフサイクルステージごとに編成されています。
表7.2 重大度の高いセキュリティーポリシー
| ライフサイクルステージ | 名前 | 説明 | ステータス |
|---|---|---|---|
| ビルドまたはデプロイ | 修正可能な CVSS >= 7 | 修正可能な脆弱性を含むデプロイメントの CVSS が 7 以上の場合にアラートを出します。 | 無効 |
| ビルドまたはデプロイ | 修正可能な重大度が少なくとも「重要な影響」 | 修正可能な脆弱性を含むデプロイメントの重大度が「重要な影響」以上の場合にアラートを出します。 | 有効 |
| ビルドまたはデプロイ | イメージで公開されているセキュアシェル (ssh) ポート | 一般に SSH アクセス用に予約されているポート 22 がデプロイで公開されたときにアラートを出します。 | 有効 |
| デプロイ | 緊急デプロイメントのアノテーション | デプロイで admission.stackrox.io/break-glass:ticket-1234 などの緊急アノテーションを使用して、StackRox アドミッションコントローラーのチェックを回避する場合にアラートを出します。 | 有効 |
| デプロイ | 環境変数に Secret が含まれています | デプロイメントに SECRET を含む環境変数がある場合にアラートを出します。 | 有効 |
| デプロイ | 修正可能な CVSS >= 6 および特権 | デプロイが特権モードで実行され、CVSS が 6 以上の修正可能な脆弱性がある場合にアラートを出します。 | バージョン 3.72.0 以降ではデフォルトで無効 |
| デプロイ | 重要かつ重大な修正可能な CVE を含む特権コンテナー | 特権モードで実行されるコンテナーに重要または重大な修正可能な脆弱性がある場合にアラートを出します。 | 有効 |
| デプロイ | 環境変数としてマウントされた Secret | 環境変数としてマウントされた Kubernetes シークレットがデプロイメントに含まれている場合にアラートを出します。 | 無効 |
| デプロイ | セキュアシェル (ssh) ポートの公開 | 一般に SSH アクセス用に予約されているポート 22 がデプロイで公開されたときにアラートを出します。 | 有効 |
| ランタイム | 暗号通貨マイニングプロセスの実行 | 暗号通貨マイニングプロセスを生成します。 | 有効 |
| ランタイム | iptables の実行 | 誰かが iptables を実行したことを検出します。これは、コンテナー内のネットワーク状態を管理する非推奨の方法です。 | 有効 |
| ランタイム | Kubernetes アクション: Exec into Pod | コンテナーでコマンドを実行する要求を Kubernetes API が受信したときにアラートを出します。 | 有効 |
| ランタイム | Linux グループ追加の実行 | 誰かが addgroup または groupadd バイナリーを実行して Linux グループを追加したことを検出します。 | 有効 |
| ランタイム | Linux ユーザー追加の実行 | 誰かが useradd または adduser バイナリーを実行して Linux ユーザーを追加したことを検出します。 | 有効 |
| ランタイム | ログインバイナリー | 誰かがログインを試みたことを示します。 | 無効 |
| ランタイム | ネットワーク管理の実行 | ネットワークの設定と管理を操作できるバイナリーファイルが誰かによって実行されたことを検出します。 | 有効 |
| ランタイム | nmap の実行 | ランタイム中に誰かがコンテナー内で nmap プロセスを開始したときにアラートを出します。 | 有効 |
| ランタイム | OpenShift: Kubeadmin Secret へのアクセス | 誰かが kubeadmin Secret にアクセスしたときにアラートを出します。 | 有効 |
| ランタイム | パスワードバイナリー | 誰かがパスワードを変更しようとしたことを示します。 | 無効 |
| ランタイム | クラスター Kubelet エンドポイントを対象とするプロセス | healthz、kubelet API、または heapster エンドポイントの誤用を検出します。 | 有効 |
| ランタイム | プロセスターゲットクラスター Kubernetes Docker Stats エンドポイント | Kubernetes docker stats エンドポイントの誤用を検出します。 | 有効 |
| ランタイム | プロセスターゲティング Kubernetes サービスエンドポイント | Kubernetes サービス API エンドポイントの誤用を検出します。 | 有効 |
| ランタイム | UID 0 のプロセス | デプロイメントに UID 0 で実行されるプロセスが含まれている場合にアラートを出します。 | 無効 |
| ランタイム | セキュアシェルサーバー (sshd) の実行 | SSH デーモンを実行するコンテナーを検出します。 | 有効 |
| ランタイム | SetUID プロセス | エスカレートされた特権で特定のプログラムを実行できるようにする setuid バイナリーファイルを使用します。 | 無効 |
| ランタイム | シャドウファイルの変更 | 誰かがシャドウファイルを変更しようとしたことを示します。 | 無効 |
| ランタイム | Java アプリケーションによって生成されたシェル | bash、csh、sh、zsh などのシェルが Java アプリケーションのサブプロセスとして実行されるタイミングを検出します。 | 有効 |
| ランタイム | 不正なネットワークフロー | 異常な違反に関するアラート設定のベースラインから外れたネットワークフローに対して違反を生成します。 | 有効 |
| ランタイム | 不正なプロセス実行 | Kubernetes デプロイメントのコンテナー仕様のロックされたプロセスベースラインによって明示的に許可されていないプロセス実行に対して違反を生成します。 | 有効 |