7.4. 重大度の低いセキュリティーポリシー
以下の表は、重要度が低い Red Hat Advanced Cluster Security for Kubernetes のデフォルトのセキュリティーポリシーを示しています。ポリシーは、ライフサイクルステージごとに編成されています。
表7.4 重大度の低いセキュリティーポリシー
| ライフサイクルステージ | 名前 | 説明 | ステータス |
|---|---|---|---|
| ビルドまたはデプロイ | イメージの 90 日間経過 | デプロイメントが 90 日間更新されていない場合にアラートを出します。 | 有効 |
| ビルドまたはデプロイ | COPY の代わりに使用される ADD コマンド | デプロイメントで ADD コマンドが使用されたときにアラートを出します。 | 無効 |
| ビルドまたはデプロイ | イメージ内の Alpine Linux Package Manager (apk) | デプロイに Alpine Linux パッケージマネージャー (apk) が含まれている場合にアラートを出します。 | 有効 |
| ビルドまたはデプロイ | イメージの curl | デプロイメントに curl が含まれている場合にアラートを出します。 | 無効 |
| ビルドまたはデプロイ | Docker CIS 4.1: コンテナーのユーザーが作成されていることを確認する | コンテナーが非 root ユーザーとして実行されていることを確認します。 | 有効 |
| ビルドまたはデプロイ | Docker CIS 4.7: 更新指示に関するアラート | Dockerfile で更新命令が単独で使用されないようにします。 | 有効 |
| ビルドまたはデプロイ | CMD で指定された安全でない | デプロイでコマンドに insecure が使用されている場合にアラートを出します。 | 有効 |
| ビルドまたはデプロイ | Latest tag | latest タグを使用するイメージがデプロイメントに含まれている場合にアラートを出します。 | 有効 |
| ビルドまたはデプロイ | イメージの Red Hat Package Manager | デプロイに Red Hat、Fedora、または CentOS パッケージ管理システムのコンポーネントが含まれている場合にアラートを出します。 | 有効 |
| ビルドまたはデプロイ | Required Image Label | 指定されたラベルがないイメージがデプロイメントに含まれている場合にアラートを出します。 | 無効 |
| ビルドまたはデプロイ | イメージの Ubuntu パッケージマネージャー | デプロイメントのイメージに Debian または Ubuntu パッケージ管理システムのコンポーネントが含まれている場合にアラートを出します。 | 有効 |
| ビルドまたはデプロイ | イメージ内の Wget | デプロイメントに wget が含まれている場合にアラートを出します。 | 無効 |
| デプロイ | Orchestrator Secrets ボリュームの不適切な使用 | デプロイメントで VOLUME/run/secrets を含む Dockerfile が使用されている場合にアラートを出します。 | 有効 |
| デプロイ | Kubernetes ダッシュボードがデプロイされました | Kubernetes ダッシュボードサービスが検出されたときにアラートを出します。 | 有効 |
| デプロイ | 必須のアノテーション: 電子メール | デプロイメントに email アノテーションが欠落している場合にアラートを出します。 | 無効 |
| デプロイ | 必要なアノテーション: 所有者/チーム | デプロイメントに所有者またはチームのアノテーションがない場合にアラートを出します。 | 無効 |
| デプロイ | 必要なラベル: 所有者/チーム | デプロイメントに所有者またはチームラベルがない場合にアラートを出します。 | 無効 |
| ランタイム | Alpine Linux パッケージマネージャーの実行 | 実行時に Alpine Linux パッケージマネージャー (apk) が実行されたときにアラートを出します。 | 有効 |
| ランタイム | chkconfig の実行 | 通常、コンテナーでは使用されない ckconfig サービスマネージャーの使用を検出します。 | 有効 |
| ランタイム | コンパイラーツールの実行 | ソフトウェアをコンパイルするバイナリーファイルが実行時に実行されると警告します。 | 有効 |
| ランタイム | Red Hat Package Manager の実行 | 実行時に Red Hat、Fedora、または CentOS パッケージマネージャープログラムが実行されたときにアラートを出します。 | 有効 |
| ランタイム | シェル管理 | シェルを追加または削除するコマンドが実行されたときに警告します。 | 無効 |
| ランタイム | systemctl の実行 | systemctl サービスマネージャーの使用状況を検出します。 | 有効 |
| ランタイム | systemd の実行 | systemd サービスマネージャーの使用状況を検出します。 | 有効 |