7.3. 重大度が中程度のセキュリティーポリシー
以下の表は、Red Hat Advanced Cluster Security for Kubernetes のデフォルトの重大度が中程度のセキュリティーポリシーを示しています。ポリシーは、ライフサイクルステージごとに編成されています。
表7.3 重大度が中程度のセキュリティーポリシー
| ライフサイクルステージ | 名前 | 説明 | ステータス |
|---|---|---|---|
| ビルド | Docker CIS 4.4: セキュリティーパッチを含むイメージのスキャンと再構築の確認 | イメージがスキャンされず、セキュリティーパッチを含むように再構築されていない場合に警告します。イメージを頻繁にスキャンして脆弱性を見つけ、イメージを再構築してセキュリティーパッチを含め、イメージのコンテナーをインスタンス化することが重要です。 | 無効 |
| デプロイ | 30 日間のスキャン期間 | デプロイメントが 30 日間スキャンされていない場合にアラートを出します。 | 有効 |
| デプロイ | CAP_SYS_ADMIN 機能が追加されました | デプロイに CAP_SYS_ADMIN でエスカレートしているコンテナーが含まれている場合にアラートを出します。 | 有効 |
| デプロイ | 読み書き可能なルートファイルシステムを使用するコンテナー | デプロイに読み取り/書き込みルートファイルシステムを持つコンテナーが含まれている場合にアラートを出します。 | 無効 |
| デプロイ | 権限のエスカレーションが許可されたコンテナー | コンテナーが意図しない権限で実行され、セキュリティーリスクが発生している可能性がある場合にアラートを出します。この状況は、親プロセスよりも多くの権限を持つコンテナープロセスが、意図しない権限でコンテナーを実行できる場合に発生する可能性があります。 | 有効 |
| デプロイ | デプロイメントには、1 つ以上のイングレスネットワークポリシーが必要 | デプロイメントにイングレスネットワークポリシーが欠落している場合にアラートします。 | 無効 |
| デプロイ | 外部に公開されたエンドポイントを使用したデプロイメント | 何らかの方法で外部に公開されているサービスがデプロイメントに含まれているかどうかを検出します。クラスター外に公開されるサービスを使用するデプロイメントは、クラスター外から到達できるため、侵入を試みるリスクが高くなります。このポリシーは、クラスター外にサービス公開する必要があるか検証できるように、アラートを提供します。サービスがクラスター内の通信のみに必要な場合は、サービスタイプ ClusterIP を使用します。 | 無効 |
| デプロイ | Docker CIS 5.1: 該当する場合は、AppArmor プロファイルが有効になっていることを確認します | AppArmor プロファイルと呼ばれるセキュリティーポリシーを適用することで、AppArmor を使用して Linux オペレーティングシステムとアプリケーションを保護します。AppArmor は、Debian や Ubuntu などの一部の Linux ディストリビューションでデフォルトで利用できる Linux アプリケーションセキュリティーシステムです。 | 有効 |
| デプロイ | Docker CIS 5.15: ホストのプロセス namespace が共有されていないことを確認する | コンテナーとホストの間にプロセスレベルの分離を作成します。プロセス ID (PID) namespace はプロセス ID 空間を分離します。つまり、異なる PID namespace のプロセスが同じ PID を持つことができます。 | 有効 |
| デプロイ | Docker CIS 5.16: ホストの IPC namespace が共有されていないことを確認する | ホスト上の IPC namespace がコンテナーと共有されている場合にアラートを出します。IPC (POSIX/SysV IPC) namespace は、名前付き共有メモリーセグメント、セマフォ、およびメッセージキューを分離します。 | 有効 |
| デプロイ | Docker CIS 5.19: マウント伝播モードが有効になっていないことを確認する | マウント伝搬モードが有効になっている場合にアラートを出します。マウント伝達モードが有効になっている場合、コンテナーボリュームを双方向、ホストからコンテナー、およびなしモードでマウントできます。明示的に必要な場合を除き、双方向マウント伝搬モードを使用しないでください。 | 有効 |
| デプロイ | Docker CIS 5.21: デフォルトの seccomp プロファイルが無効になっていないことを確認する | seccomp プロファイルが無効になったときに警告します。seccomp プロファイルは、許可リストを使用して一般的なシステムコールを許可し、その他すべてをブロックします。 | 無効 |
| デプロイ | Docker CIS 5.7: 特権ポートがコンテナー内にマップされていないことを確認する | 特権ポートがコンテナー内でマップされたときにアラートを出します。1024 未満の TCP/IP ポート番号は特権ポートです。セキュリティー上の理由から、通常のユーザーとプロセスはそれらを使用できませんが、コンテナーはそれらのポートを特権ポートにマップする場合があります。 | 有効 |
| デプロイ | Docker CIS 5.9 および 5.20: ホストのネットワーク namespace が共有されていないことを確認する | ホストのネットワーク namespace が共有されている場合に警告します。HostNetwork が有効な場合、コンテナーは別のネットワークスタック内に配置されず、コンテナーのネットワークはコンテナー化されません。その結果、コンテナーはホストのネットワークインターフェイスに完全にアクセスでき、共有 UTS namespace が有効になります。UTS 名前空間は、ホスト名と NIS ドメイン名を分離し、その namespace で実行中のプロセスから見えるホスト名とドメインを設定します。コンテナー内で実行されるプロセスは通常、ホスト名またはドメイン名を知る必要がないため、UTS namespace をホストと共有しないでください。 | 有効 |
| デプロイ | スキャンなしのイメージ | デプロイメントにスキャンされていないイメージが含まれている場合にアラートを出します。 | 無効 |
| ランタイム | Kubernetes アクション: Pod へのポート転送 | Kubernetes API がポート転送リクエストを受信したときにアラートを出します。 | 有効 |
| デプロイ | コンテナーランタイムソケットのマウント | デプロイでコンテナーランタイムソケットにボリュームマウントがある場合にアラートを出します。 | 有効 |
| デプロイ | 重要なホストディレクトリーのマウント | デプロイメントが機密性の高いホストディレクトリーをマウントするときにアラートを出します。 | 有効 |
| デプロイ | リソース要求または制限が指定されていません | リソースの要求と制限がないコンテナーがデプロイメントに含まれている場合にアラートを出します。 | 有効 |
| デプロイ | 自動的にマウントされる Pod サービスアカウントトークン | アプリケーションが Kubernetes API との対話を必要とする Pod のみにデフォルトサービスアカウントトークンのマウントを最小限に抑えることで、Pod のデフォルトサービスアカウントトークンが侵害されないように保護します。 | 有効 |
| デプロイ | 特権付きコンテナー | デプロイメントに特権モードで実行されるコンテナーが含まれている場合にアラートを出します。 | 有効 |
| ランタイム | crontab の実行 | crontab スケジュールジョブエディターの使用を検出します。 | 有効 |
| ランタイム | Netcat の実行が検出されました | netcat がコンテナー内で実行されるタイミングを検出します。 | 有効 |
| ランタイム | OpenShift: Advanced Cluster Security Central Admin Secret へのアクセス | 誰かが Red Hat Advanced Cluster Security Central Secret にアクセスしたときにアラートを出します。 | 有効 |
| ランタイム | OpenShift: なりすましユーザーがアクセスする Kubernetes Secret | 誰かがユーザーになりすましてクラスター内の Secret にアクセスしたときにアラートを出します。 | 有効 |
| ランタイム | リモートファイルコピーバイナリー実行 | デプロイメントでリモートファイルコピーツールが実行されたときにアラートを出します。 | 有効 |