3.2. 从风险视图中创建安全策略
在风险视图中评估部署的风险时,当您应用本地页面过滤时,您可以根据您使用的过滤标准创建新的安全策略。
流程
- 导航到 RHACS 门户并从 导航菜单中选择风险。
- 应用您要创建策略的本地页面过滤条件。
- 选择 New Policy 并填写所需字段来创建新策略。
3.2.1. 了解 Red Hat Advanced Cluster Security for Kubernetes 如何将过滤条件转换为策略标准
当您从 风险 视图中创建新安全策略时,基于您使用的过滤条件,并非所有条件都直接应用于新策略。
Red Hat Advanced Cluster Security for Kubernetes 将 Cluster、Namespace 和 Deployment 过滤器转换为等效的策略范围。
在 Risk 视图中过滤本地页面会使用以下方法组合搜索术语:
-
将同一类别中的搜索术语与
OR运算符合并。例如,如果搜索查询是Cluster:A,B,则过滤器与集群 A或集群 B中的部署匹配。 -
将不同类别中的搜索术语与
AND运算符合并。例如,如果搜索查询是Cluster:A+Namespace:Z,则过滤器与集群 A和namespace Z中的部署匹配。
-
将同一类别中的搜索术语与
当您向策略中添加多个范围时,策略会从任何范围中匹配违反情况。
-
例如,如果您搜索
(Cluster A or Cluster B)and(Namespace Z),则会产生两个策略范围(Cluster=A AND Namespace=Z)或(Cluster=B and Namespace=Z)。
-
例如,如果您搜索
- Red Hat Advanced Cluster Security for Kubernetes drops 或修改过滤器不会直接映射到策略标准并报告丢弃的过滤器。
下表列出了过滤搜索属性如何映射到策略条件:
| search 属性 | 策略标准 |
|---|---|
| 添加功能 | 添加功能 |
| 注解 | 禁止注解 |
| CPU 内核限制 | 容器 CPU 限制 |
| CPU 内核请求 | 容器 CPU 请求 |
| CVE | CVE |
| CVE Published On | rails 已丢弃 |
| CVE Snoozed | rails 已丢弃 |
| CVSS | CVSS |
| 集群 | 转换为范围 |
| 组件 | 镜像组件(名称) |
| 组件版本 | 镜像组件(版本) |
| Deployment | 转换为范围 |
| 部署类型 | rails 已丢弃 |
| Dockerfile 指令关键字 | Dockerfile 行(密钥) |
| Dockerfile 指令值 | Dockerfile 行(值) |
| 丢弃功能 | rails 已丢弃 |
| 环境密钥 | 环境变量(密钥) |
| 环境值 | 环境变量(值) |
| 环境变量源 | 环境变量(源) |
| 公开的节点端口 | rails 已丢弃 |
| 公开服务 | rails 已丢弃 |
| 公开服务端口 | rails 已丢弃 |
| 风险级别 | 端口公开 |
| 外部主机名 | rails 已丢弃 |
| 外部 IP | rails 已丢弃 |
| 镜像 | rails 已丢弃 |
| 镜像命令 | rails 已丢弃 |
| 镜像创建时间 | 自镜像创建以来的天数 |
| image Entrypoint | rails 已丢弃 |
| 镜像标签 | 禁止的镜像标签 |
| 镜像操作系统 | 镜像操作系统 |
| 镜像 Pull Secret | rails 已丢弃 |
| 镜像 Registry | 镜像 Registry |
| 镜像远程 | 镜像远程 |
| 镜像扫描时间 | 自镜像最后一次扫描的天数 |
| 镜像标签 | 镜像标签 |
| 镜像顶级 CVSS | rails 已丢弃 |
| 镜像用户 | rails 已丢弃 |
| 镜像卷 | rails 已丢弃 |
| 标签 | 转换为范围 |
| max Exposure Level | rails 已丢弃 |
| 内存限制(MB) | 容器内存限制 |
| 内存请求(MB) | 容器内存请求 |
| 命名空间 | 转换为范围 |
| 命名空间 ID | rails 已丢弃 |
| Pod 标签 | rails 已丢弃 |
| 端口 | 端口 |
| 端口协议 | 协议 |
| 优先级 | rails 已丢弃 |
| privileged | privileged |
| Process Ancestor | Process Ancestor |
| 进程参数 | 进程参数 |
| 进程名称 | 进程名称 |
| 进程路径 | rails 已丢弃 |
| 进程标签 | rails 已丢弃 |
| 进程 UID | 进程 UID |
| 只读取根文件系统 | 只读根文件系统 |
| Secret | rails 已丢弃 |
| 机密路径 | rails 已丢弃 |
| 服务帐户 | rails 已丢弃 |
| 服务帐户权限级别 | 最低 RBAC 权限级别 |
| 容限键 | rails 已丢弃 |
| 容限值 | rails 已丢弃 |
| 卷目的地 | 卷目的地 |
| 卷名称 | 卷名称 |
| 卷 ReadOnly | 可写卷 |
| 卷源 | 卷源 |
| 卷类型 | 卷类型 |
