3.2. 从风险视图中创建安全策略
在风险视图中评估部署的风险时,当您应用本地页面过滤时,您可以根据您使用的过滤标准创建新的安全策略。
流程
- 导航到 RHACS 门户并从 导航菜单中选择风险。
- 应用您要创建策略的本地页面过滤条件。
- 选择 New Policy 并填写所需字段来创建新策略。
3.2.1. 了解 Red Hat Advanced Cluster Security for Kubernetes 如何将过滤条件转换为策略标准
当您从 风险 视图中创建新安全策略时,基于您使用的过滤条件,并非所有条件都直接应用于新策略。
Red Hat Advanced Cluster Security for Kubernetes 将 Cluster、Namespace 和 Deployment 过滤器转换为等效的策略范围。
在 Risk 视图中过滤本地页面会使用以下方法组合搜索术语:
-
将同一类别中的搜索术语与
OR
运算符合并。例如,如果搜索查询是Cluster:A,B
,则过滤器与集群 A
或集群 B
中的部署匹配。 -
将不同类别中的搜索术语与
AND
运算符合并。例如,如果搜索查询是Cluster:A+Namespace:Z
,则过滤器与集群 A
和namespace Z
中的部署匹配。
-
将同一类别中的搜索术语与
当您向策略中添加多个范围时,策略会从任何范围中匹配违反情况。
-
例如,如果您搜索
(Cluster A or Cluster B)and(Namespace Z)
,则会产生两个策略范围(Cluster=A AND Namespace=Z)
或(Cluster=B and Namespace=Z)
。
-
例如,如果您搜索
- Red Hat Advanced Cluster Security for Kubernetes drops 或修改过滤器不会直接映射到策略标准并报告丢弃的过滤器。
下表列出了过滤搜索属性如何映射到策略条件:
search 属性 | 策略标准 |
---|---|
添加功能 | 添加功能 |
注解 | 禁止注解 |
CPU 内核限制 | 容器 CPU 限制 |
CPU 内核请求 | 容器 CPU 请求 |
CVE | CVE |
CVE Published On | rails 已丢弃 |
CVE Snoozed | rails 已丢弃 |
CVSS | CVSS |
集群 | 转换为范围 |
组件 | 镜像组件(名称) |
组件版本 | 镜像组件(版本) |
Deployment | 转换为范围 |
部署类型 | rails 已丢弃 |
Dockerfile 指令关键字 | Dockerfile 行(密钥) |
Dockerfile 指令值 | Dockerfile 行(值) |
丢弃功能 | rails 已丢弃 |
环境密钥 | 环境变量(密钥) |
环境值 | 环境变量(值) |
环境变量源 | 环境变量(源) |
公开的节点端口 | rails 已丢弃 |
公开服务 | rails 已丢弃 |
公开服务端口 | rails 已丢弃 |
风险级别 | 端口公开 |
外部主机名 | rails 已丢弃 |
外部 IP | rails 已丢弃 |
镜像 | rails 已丢弃 |
镜像命令 | rails 已丢弃 |
镜像创建时间 | 自镜像创建以来的天数 |
image Entrypoint | rails 已丢弃 |
镜像标签 | 禁止的镜像标签 |
镜像操作系统 | 镜像操作系统 |
镜像 Pull Secret | rails 已丢弃 |
镜像 Registry | 镜像 Registry |
镜像远程 | 镜像远程 |
镜像扫描时间 | 自镜像最后一次扫描的天数 |
镜像标签 | 镜像标签 |
镜像顶级 CVSS | rails 已丢弃 |
镜像用户 | rails 已丢弃 |
镜像卷 | rails 已丢弃 |
标签 | 转换为范围 |
max Exposure Level | rails 已丢弃 |
内存限制(MB) | 容器内存限制 |
内存请求(MB) | 容器内存请求 |
命名空间 | 转换为范围 |
命名空间 ID | rails 已丢弃 |
Pod 标签 | rails 已丢弃 |
端口 | 端口 |
端口协议 | 协议 |
优先级 | rails 已丢弃 |
privileged | privileged |
Process Ancestor | Process Ancestor |
进程参数 | 进程参数 |
进程名称 | 进程名称 |
进程路径 | rails 已丢弃 |
进程标签 | rails 已丢弃 |
进程 UID | 进程 UID |
只读取根文件系统 | 只读根文件系统 |
Secret | rails 已丢弃 |
机密路径 | rails 已丢弃 |
服务帐户 | rails 已丢弃 |
服务帐户权限级别 | 最低 RBAC 权限级别 |
容限键 | rails 已丢弃 |
容限值 | rails 已丢弃 |
卷目的地 | 卷目的地 |
卷名称 | 卷名称 |
卷 ReadOnly | 可写卷 |
卷源 | 卷源 |
卷类型 | 卷类型 |