3.2. 위험 보기를 통해 보안 정책 생성

위험 요소 보기에서 배포에서 위험 을 평가하는 동안 로컬 페이지 필터링을 적용할 때 사용하는 필터링 기준에 따라 새 보안 정책을 생성할 수 있습니다.

절차

  1. RHACS 포털로 이동하여 탐색 메뉴에서 Risk 를 선택합니다.
  2. 정책을 생성할 로컬 페이지 필터링 기준을 적용합니다.
  3. New Policy (새 정책)를 선택하고 새 정책을 생성하는 데 필요한 필드를 입력합니다.

3.2.1. Red Hat Advanced Cluster Security for Kubernetes가 필터링 기준을 정책 기준으로 변환하는 방법 이해

사용하는 필터링 기준에 따라 위험 보기에서 새 보안 정책을 생성할 때 모든 기준이 새 정책에 직접 적용되는 것은 아닙니다.

  • Red Hat Advanced Cluster Security for Kubernetes는 Cluster,Namespace, Deployment 필터를 동등한 정책 범위로 변환합니다.

    • 위험 보기에서 로컬 페이지 필터링은 다음 방법을 사용하여 검색 조건을 결합합니다.

      • 동일한 범주의 검색 용어와 OR 연산자를 결합합니다. 예를 들어 검색 쿼리가 Cluster:A,B 인 경우 필터는 클러스터 A 또는 클러스터 B 의 배포와 일치합니다.
      • 다른 범주의 검색 용어와 AND 연산자를 결합합니다. 예를 들어 검색 쿼리가 Cluster:A+Namespace:Z 인 경우 필터는 클러스터 A네임스페이스 Z 의 배포와 일치합니다.
    • 정책에 여러 범위를 추가하면 정책이 해당 범위의 위반과 일치합니다.

      • 예를 들어 (Cluster A OR Cluster B) 및 (Namespace Z) 를 검색하는 경우 두 가지 정책 범위 (Cluster=A AND Namespace=Z) 또는 (Cluster=B and Namespace=Z) 가 생성됩니다.
  • Red Hat Advanced Cluster Security for Kubernetes는 정책 기준에 직접 매핑되지 않는 필터를 삭제하거나 수정합니다.

다음 표에는 검색 특성 필터링이 정책 기준에 매핑되는 방법이 나와 있습니다.

search 속성정책 기준

기능 추가

기능 추가

주석

허용되지 않는 주석

CPU Cores Limit

컨테이너 CPU 제한

CPU 코어 요청

컨테이너 CPU 요청

CVE

CVE

CVE Published On

삭제됨

CVE Snoozed

삭제됨

CVSS

CVSS

Cluster

범위로 변환

구성 요소

이미지 구성 요소(이름)

구성 요소 버전

이미지 구성 요소(버전)

배포

범위로 변환

배포 유형

삭제됨

Dockerfile 명령 키워드

Dockerfile 라인(키)

Dockerfile 명령 값

Dockerfile 라인(값)

드롭 기능

삭제됨

환경 키

환경 변수(키)

환경 값

환경 변수(값)

환경 변수 소스

환경 변수(소스)

노출된 노드 포트

삭제됨

서비스 노출

삭제됨

서비스 포트 노출

삭제됨

노출 수준

포트 Exposure

외부 호스트 이름

삭제됨

외부 IP

삭제됨

Image

삭제됨

이미지 명령

삭제됨

이미지 생성 시간

이미지가 생성된 날짜

이미지 Entrypoint

삭제됨

이미지 레이블

허용되지 않는 이미지 레이블

이미지 OS

이미지 OS

이미지 가져오기 보안

삭제됨

이미지 레지스트리

이미지 레지스트리

이미지 원격

이미지 원격

이미지 스캔 시간

이미지가 마지막으로 스캔된 날짜

이미지 태그

이미지 태그

이미지 상위 CVSS

삭제됨

이미지 사용자

삭제됨

이미지 볼륨

삭제됨

레이블

범위로 변환

최대 노출 수준

삭제됨

메모리 제한 (MB)

컨테이너 메모리 제한

메모리 요청(MB)

컨테이너 메모리 요청

네임스페이스

범위로 변환

네임스페이스 ID

삭제됨

Pod 라벨

삭제됨

포트

포트

포트 프로토콜

프로토콜

우선 순위

삭제됨

privileged

privileged

프로세스 Ancestor

프로세스 Ancestor

프로세스 인수

프로세스 인수

프로세스 이름

프로세스 이름

프로세스 경로

삭제됨

프로세스 태그

삭제됨

프로세스 UID

프로세스 UID

루트 파일 시스템만 읽기

읽기 전용 루트 파일 시스템

Secret

삭제됨

보안 경로

삭제됨

서비스 계정

삭제됨

서비스 계정 권한 수준

최소 RBAC 권한 수준

허용 오차 키

삭제됨

허용 오차 값

삭제됨

볼륨 대상

볼륨 대상

볼륨 이름

볼륨 이름

volume ReadOnly

쓰기 가능한 볼륨

볼륨 소스

볼륨 소스

볼륨 유형

볼륨 유형