7.4. 重大度の低いセキュリティーポリシー

以下の表は、重要度が低い Red Hat Advanced Cluster Security for Kubernetes のデフォルトのセキュリティーポリシーを示しています。ポリシーは、ライフサイクルステージごとに編成されています。

表7.4 重大度の低いセキュリティーポリシー

ライフサイクルステージ名前説明ステータス

ビルドまたはデプロイ

イメージの 90 日間経過

デプロイメントが 90 日間更新されていない場合にアラートを出します。

有効

ビルドまたはデプロイ

COPY の代わりに使用される ADD コマンド

デプロイメントで ADD コマンドが使用されたときにアラートを出します。

無効

ビルドまたはデプロイ

イメージ内の Alpine Linux Package Manager (apk)

デプロイに Alpine Linux パッケージマネージャー (apk) が含まれている場合にアラートを出します。

有効

ビルドまたはデプロイ

イメージの curl

デプロイメントに curl が含まれている場合にアラートを出します。

無効

ビルドまたはデプロイ

Docker CIS 4.1: コンテナーのユーザーが作成されていることを確認する

コンテナーが非 root ユーザーとして実行されていることを確認します。

有効

ビルドまたはデプロイ

Docker CIS 4.7: 更新指示に関するアラート

Dockerfile で更新命令が単独で使用されないようにします。

有効

ビルドまたはデプロイ

CMD で指定された安全でない

デプロイでコマンドに insecure が使用されている場合にアラートを出します。

有効

ビルドまたはデプロイ

Latest tag

latest タグを使用するイメージがデプロイメントに含まれている場合にアラートを出します。

有効

ビルドまたはデプロイ

イメージの Red Hat Package Manager

デプロイに Red Hat、Fedora、または CentOS パッケージ管理システムのコンポーネントが含まれている場合にアラートを出します。

有効

ビルドまたはデプロイ

Required Image Label

指定されたラベルがないイメージがデプロイメントに含まれている場合にアラートを出します。

無効

ビルドまたはデプロイ

イメージの Ubuntu パッケージマネージャー

デプロイメントのイメージに Debian または Ubuntu パッケージ管理システムのコンポーネントが含まれている場合にアラートを出します。

有効

ビルドまたはデプロイ

イメージ内の Wget

デプロイメントに wget が含まれている場合にアラートを出します。

無効

デプロイ

Orchestrator Secrets ボリュームの不適切な使用

デプロイメントで VOLUME/run/secrets を含む Dockerfile が使用されている場合にアラートを出します。

有効

デプロイ

Kubernetes ダッシュボードがデプロイされました

Kubernetes ダッシュボードサービスが検出されたときにアラートを出します。

有効

デプロイ

必須のアノテーション: 電子メール

デプロイメントに email アノテーションが欠落している場合にアラートを出します。

無効

デプロイ

必要なアノテーション: 所有者/チーム

デプロイメントに所有者またはチームのアノテーションがない場合にアラートを出します。

無効

デプロイ

必要なラベル: 所有者/チーム

デプロイメントに所有者またはチームラベルがない場合にアラートを出します。

無効

ランタイム

Alpine Linux パッケージマネージャーの実行

実行時に Alpine Linux パッケージマネージャー (apk) が実行されたときにアラートを出します。

有効

ランタイム

chkconfig の実行

通常、コンテナーでは使用されない ckconfig サービスマネージャーの使用を検出します。

有効

ランタイム

コンパイラーツールの実行

ソフトウェアをコンパイルするバイナリーファイルが実行時に実行されると警告します。

有効

ランタイム

Red Hat Package Manager の実行

実行時に Red Hat、Fedora、または CentOS パッケージマネージャープログラムが実行されたときにアラートを出します。

有効

ランタイム

シェル管理

シェルを追加または削除するコマンドが実行されたときに警告します。

無効

ランタイム

systemctl の実行

systemctl サービスマネージャーの使用状況を検出します。

有効

ランタイム

systemd の実行

systemd サービスマネージャーの使用状況を検出します。

有効