8.8. ネットワークベースラインの使用

RHACS では、ネットワークベースライニングを使用することでリスクを最小限に抑えることができます。インフラストラクチャーをセキュアに保つためのプロアクティブなアプローチです。RHACS は、まず既存のネットワークフローを検出してベースラインを作成し、次にこのベースラインの外にあるネットワークフローを異常として扱います。

注記
  • ネットワークベースライン 機能を使用するには、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.54 以降を使用する必要があります。
  • ベースライン違反のアラートを有効にするには、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.56 以降を使用する必要があります。

RHACS をインストールする場合、デフォルトのネットワークベースラインはありません。Red Hat Advanced Cluster Security for Kubernetes はネットワークフローを検出すると、ベースラインを作成し、次のガイドラインに従って、検出されたすべてのネットワークフローをベースラインに追加します。

  • RHACS は、新しいネットワークアクティビティーを検出すると、そのネットワークフローをネットワークベースラインに追加します。
  • ネットワークフローは、異常なフローとして表示されず、違反は発生しません。

検出フェーズの後、次のアクションが発生します。

  • RHACS は、ネットワークベースラインへのネットワークフローの追加を停止します。
  • ネットワークベースラインにない新しいネットワークフローは異常なフローとして表示されますが、違反はトリガーされません。

8.8.1. ネットワークグラフ (2.0 プレビュー) からネットワークベースラインを表示する

ネットワークグラフビューからネットワークベースラインを表示できます。

手順

  1. Namespace リストをクリックし、検索フィールドを使用して namespace を見つけるか、個々の namespace を選択します。
  2. Deployments リストをクリックし、検索フィールドを使用してデプロイメントを見つけるか、ネットワークグラフに表示する個々のデプロイメントを選択します。
  3. ネットワークグラフでデプロイメントをクリックして情報パネルを表示します。
  4. Baseline タブを選択します。filter by entity name フィールドを使用して、表示されるフローをさらに制限します。
  5. オプション: 次のいずれかのアクションを実行して、ベースラインフローを異常としてマークできます。

    • 個別のエンティティーを選択し、 kebab をクリックして、Mark as anomalous を選択します。
    • 複数のエンティティーを選択し、Bulk actions をクリックして、Mark as anomalous を選択します。
  6. オプション: ポートとプロトコルを除外するには、ボックスをオンにします。
  7. オプション: ベースラインをネットワークポリシー YAML ファイルとして保存するには、Download baseline as network policy をクリックします。

8.8.2. ネットワークグラフ (1.0) からネットワークベースラインを表示する

ネットワークグラフビューからネットワークベースラインを表示できます。

手順

  1. ネットワークグラフで、1 つ以上の namespace を選択します。
  2. デプロイメントを選択します。

    Network Flow 詳細パネルには、異常なフローとベースラインフローの両方が表示されます。

  3. 次のいずれかのアクションを実行します。

    • Mark as Anomalous を選択して、ベースラインからネットワークフローを異常なものとしてマーク付けします。
    • Add to Baseline を選択して、異常なフローからネットワークフローをベースラインに追加します。

8.8.3. ネットワークグラフ (2.0 プレビュー) からネットワークベースラインをダウンロードする

ネットワークグラフビューからネットワークベースラインを YAML ファイルとしてダウンロードできます。

手順

  1. RHACS Web ポータルで、Network Graph (2.0 preview) に移動します。
  2. Namespace リストをクリックし、検索フィールドを使用して namespace を見つけるか、個々の namespace を選択します。
  3. Deployments リストをクリックし、検索フィールドを使用してデプロイメントを見つけるか、ネットワークグラフに表示する個々のデプロイメントを選択します。
  4. ネットワークグラフでデプロイメントをクリックして情報パネルを表示します。
  5. Baseline タブには、ベースラインフローがリストされます。filter by entity name フィールドを使用して、フローのリストをさらに制限します。
  6. オプション: ポートとプロトコルを除外するには、ボックスをオンにします。
  7. Download baseline as network policy をクリックします。

8.8.4. ネットワークグラフ (2.0 プレビュー) でのベースライン違反に関するアラートの有効化

異常なネットワークフローを検出し、ベースラインにないトラフィックの違反をトリガーするように RHACS を設定できます。これは、ネットワークポリシーでトラフィックをブロックする前に、ネットワークに不要なトラフィックが含まれているかどうかを判断するのに役立ちます。

手順

  1. Namespace リストをクリックし、検索フィールドを使用して namespace を見つけるか、個々の namespace を選択します。
  2. Deployments リストをクリックし、検索フィールドを使用してデプロイメントを見つけるか、ネットワークグラフに表示する個々のデプロイメントを選択します。
  3. ネットワークグラフでデプロイメントをクリックして情報パネルを表示します。
  4. Baseline タブでは、ベースラインフローを表示できます。filter by entity name フィールドを使用して、表示されるフローをさらに制限します。
  5. Alert on baseline violations オプションを切り替えます。

    • Alert on baseline violations オプションを切り替えると、異常なネットワークフローによって違反がトリガーされます。
    • Alert on baseline violations オプションを再度切り替えると、異常なネットワークフローの違反の受信を停止できます。

8.8.5. ネットワークグラフ (1.0) でのベースライン違反に関するアラートの有効化

異常なネットワークフローを検出し、違反をトリガーするように RHACS を設定できます。

注記

ベースライン違反のアラートを有効にするには、RHACS バージョン 3.0.56 以降が必要です。

手順

  1. ネットワークグラフで、デプロイメントを選択します。
  2. ネットワークフローの詳細パネルで Baseline Settings を選択します。
  3. Alert on baseline violations オプションを切り替えます。

    • Alert on baseline violations オプションを切り替えると、異常なネットワークフローによって違反がトリガーされます。
    • Alert on baseline violations オプションを再度切り替えると、異常なネットワークフローの違反の受信を停止できます。