发行注记
Red Hat Advanced Cluster Security for Kubernetes 发行版本的主要新功能及变化信息
摘要
第 1 章 Red Hat Advanced Cluster Security for Kubernetes 3.70
表 1.1. 发行日期
| RHACS 版本 | 发布日期 |
|---|---|
|
| 2022 年 6 月 2 日 |
|
| 2022 年 6 月 22 日 |
|
| 2022 年 10 月 5 日 |
Red Hat Advanced Cluster Security for Kubernetes 是一个企业级的 Kubernetes 原生容器安全解决方案,可在构建、部署和运行时保护重要应用程序。它在您的基础架构中部署,并可以与您的 DevOps 工具和工作流集成,以提供更好的安全性和合规性,同时使 DevOps 和 InfoSec 团队能够确保安全。
由于 2022 年 10 月 20 日的上游漏洞源中发生了意外的模式变化,红帽发布了 CVE 数据文件到 https://definitions.stackrox.io,许多中央实例下载了损坏的文件。因此,当 Central 处理损坏的源数据时,它会失败并进入 CrashLoopBackOff 状态。虽然红帽已经采取了相应的步骤来修复损坏的 CVE 数据文件,但已经受影响中心实例不会自动退出 CrashLoopBackOff 状态。要获得中心到工作条件,请按照 CrashLoopBackOff 中部的说明进行操作 - 2022-10-20 Incident.
Red Hat Advanced Cluster Security for Kubernetes(RHACS)3.70 包括功能增强、错误修复、扩展改进和其他更改。
1.1. 新功能
1.1.1. 针对 Cosign 公钥验证镜像签名
您可以通过针对预先配置的密钥验证镜像签名,使用 RHACS 来确保集群中容器镜像的完整性。您还可以创建策略来阻止未经过验证的镜像和没有验证签名的镜像,并使用准入控制器停止未授权部署创建。支持 Cosign 密钥签名验证。如需更多信息,请参阅验证镜像签名。
1.1.2. 识别缺少的 Kubernetes 网络策略
Kubernetes 网络策略有助于在集群中启用零信任网络。通过限制后续移动的机会,降低了网络攻击的影响。默认情况下,Kubernetes 资源不会被隔离。应用网络策略是推荐的做法,但用户可以自行决定是否这样做。
RHACS 3.70 附带了一个新的默认策略,允许您轻松识别不受任何入口网络策略限制的部署,并相应地触发违反警报。
- 默认策略名为 Deployments should have at least one ingress Network Policy。它默认是禁用的。
- 默认策略使用一个新的策略条件,称为 Alert on missing ingress Network Policy。
- 要识别 pod 隔离中的差距,您可以使用策略条件克隆此默认策略或创建新策略,并在所选资源中启用它。
1.2. 功能增强
1.2.1. 识别 Spring 关键安全漏洞
RHACS 3.70 添加了一个策略来检测 Spring Cloud Function RCE 安全漏洞 (CVE-2022-22963) 和 Spring Framework Spring4Shell RCE 安全漏洞 (CVE-2022-22965)。该策略的严重性级别为 Critical,默认是启用状态。
1.2.2. 自动 Amazon ECR registry 集成
Amazon Elastic Container Registry (ECR) 的 registry 集成现在会自动为 Amazon Web Services (AWS) 集群生成。此功能要求节点的实例身份和访问管理(IAM)角色已被授予 ECR 的访问权限。您可以通过在节点中禁用 EC2 实例元数据服务来关闭此功能。如需更多信息,请参阅 Amazon ECR 集成。
1.2.3. 改进了 Pod 安全上下文验证
添加了一个新的策略条件,以验证 Kubernetes 安全上下文中的 allowPrivilegeEscalation 值。当配置了部署时,您可以使用此策略条件提供警报,以便容器进程获得比父进程更多的特权。
1.2.4. 允许包含和排除范围的数量
在以前的版本中,RHACS 将允许在一个范围内包含和排除的数量限制为 10 个。这个限制已被删除。
1.2.5. 可以在 OpenShift Container Platform 控制台中轻松查找 ACS admin 用户凭证
使用推荐的 Operator 方法在 OpenShift Container Platform 上部署 RHACS 的客户,现在可以在 OpenShift Container Platform 控制台中查看 admin 用户的凭证。查看 Central 对象时,Details 选项卡的 Admin Password Secret Reference 下提供了指向凭据的链接。显示的凭证是默认生成的密码,或是之前配置并存储的自定义 secret。如需更多信息,请参阅验证 Central 安装。
1.3. 主要的技术变化
1.3.1. RHCOS 节点的漏洞扫描和报告
在对 Red Hat Enterprise Linux CoreOS (RHCOS) 节点进行扫描改进前,还禁用了对 Red Hat Enterprise Linux CoreOS(RHCOS)节点的漏洞扫描和报告,从而提高了准确性,并支持 Kubernetes 组件以外的完整主机级别扫描。目前,RHCOS 使用国家漏洞数据库(NVD)漏洞数据来报告 RHCOS 中 Kubernetes 组件的漏洞。在增强的版本中,漏洞报告将基于红帽发布的安全数据。(ROX-10662)
1.4. 弃用和删除的功能
之前版本中的一些功能已被弃用或删除。
弃用的功能仍然包含在 RHACS 中,并且仍然被支持。但是,这个功能会在以后的发行版本中被删除,且不建议在新的部署中使用。有关已弃用和删除的主要功能的最新列表,请参考下表。表后提供了有关某些删除或已弃用功能的附加信息。
在下表中,被标记为以下状态的功能:
- GA: 正式发行 (GA)
- TP: 技术预览
- DEP:弃用
- REM: 删除
表 1.2. 弃用和删除的功能
| 功能 | RHACS 3.68 | RHACS 3.69 | RHACS 3.70 |
|---|---|---|---|
| 删除默认策略的能力 | DEP | DEP | REM |
| 可为警报和进程添加注释 | GA | DEP | DEP |
| Anchore、Tenable 和 Docker Trusted registry 集成 | GA | DEP | DEP |
| 用于有范围访问控制的外部授权插件 | GA | DEP | DEP |
|
Disallowed Dockerfile 行策略字段中的 | GA | GA | DEP |
|
| GA | GA | DEP |
|
| GA | GA | DEP |
|
| GA | DEP | DEP |
|
没有 | DEP | DEP | REM |
|
| DEP | DEP | REM |
|
| DEP | DEP | REM |
|
| GA | DEP | DEP |
1.4.1. 已弃用的功能
- Anchore、Tenable 和 Docker Trusted Registry 集成:RHACS 扫描程序会取代这些集成。
- 用于有范围访问控制的外部授权插件 :使用现有的 in-product 有范围的访问控制。
-
Disallowed Dockerfile 行策略字段中的 FROM 选项:任何包括带有
FROM选项的 Disallowed Dockerfile 行策略字段的任何策略都必须更新,以删除这些策略部分。
1.4.2. 删除的功能
-
RHACS 3.70 不再支持没有
policyVersion1.1 的安全策略,包括(但不限于)导入策略。 - Red Hat Advanced Cluster Security for Kubernetes 不允许删除默认策略。您可以禁用您不需要的默认策略,而不是删除策略。
-
/v1/policiesAPI 端点响应不会返回field响应正文参数。
1.5. 程序错误修复
1.5.1. 在版本 3.70.2 中解决
发布日期: 2022 年 10 月 5 日
此发行版本包含可解决基础镜像中的以下常见漏洞和暴露(CVE)的安全更新:
-
CVE-2022-2526:
systemd-resolved: 在处理。resolved-dns-stream.c中的DnsStream时,无人无需使用 -
CVE-2022-29154 :
rsync: 远程写入连接 peer 的目录中的任意文件
1.5.2. 已在版本 3.70.1 中解决
发行日期: 2022 年 6 月 22 日
- CVE-2022-1902 :在以前的版本中,不正确的清理可让经过身份验证的用户从 GraphQL API 检索 Notifier secret。这个问题已被解决。(ROX-11490)
1.5.3. 已在 3.70.0 版本中解决
发行日期: 2022 年 6 月 2 日
- 在配置 JFrog Artifactory 集成时,用户名和密码字段现在是可选的,以允许匿名拉取。(ROX-10090)
- 对通用 Webhook 集成中的端点 URL 验证到 Web 用户界面会导致错误。这个问题已被解决。(ROX-9902)
-
如果请求来自默认的 OpenShift
oauth-apiserver-sa服务帐户,策略 OpenShift: Kubeadmin Secret Accessed 不再会被触发,因为这是 OpenShift API 服务器的预期访问模式。(ROX-10018) - 为策略列表中选择的多个策略启用或禁用通知的功能已被恢复。要更改通知状态,请选择一个或多个策略,然后从 Bulk Actions 菜单中选择 Enable notification 或 Disable notification。(ROX-9985)
- 修复了一个权限问题,报告具有读/写权限的用户仍然可以创建或编辑报告的漏洞。(ROX-9880)
-
在以前的版本中存在一个问题:如果与 OpenShift Container Platform 控制台的连接已存在,会导致在连接到 RHACS 后导致 OpenShift Container Platform 控制台出现连接问题,或无法连接到 RHACS。 这个问题已被修复。现在,对于当经过 TLS SNI 发送的
ServerName与:authority(Host) 标头不匹配的请求,Central 会发送一个带有421 Misdirected Request状态的响应。您可以通过设置ROX_ALLOW_MISDIRECTED_REQUESTS=true来关闭此功能。(ROX-9625) - 在编辑策略时,对于禁用的策略,Violations Preview 窗口不可用。这个问题已被解决。(ROX-9435)
-
添加了禁用基于角色的访问控制(RBAC)相关风险计算的功能。通过设置 Central 部署 spec 中的环境变量
ROX_INCLUDE_RBAC_IN_RISK=false,用户可从风险计算中排除 RBAC。(ROX-10627)
1.6. 镜像版本
| 镜像 | 描述 | 当前版本 |
|---|---|---|
| Main |
包括 Central、Sensor、Admission Controller 和 Compliance。还包括在持续集成(CI)系统中使用的 |
|
| 扫描程序 | 扫描镜像和节点。 |
|
| 扫描程序数据库(Scanner DB) | 存储镜像扫描结果和安全漏洞定义。 |
|
| Collector | 收集 Kubernetes 或 OpenShift Container Platform 集群中的运行时活动。 |
|