3.6. 使用进程基准
您可以使用流程基础来最大程度降低基础架构安全性的风险。通过这种方法,Red Hat Advanced Cluster Security for Kubernetes 首先发现现有的进程并创建基准。然后,它以默认的 deny-all 模式运行,只允许在基准中运行列出的进程。
<discreet><title>进程基准</title>安装 Red Hat Advanced Cluster Security for Kubernetes 时,没有默认的进程基准。当 Red Hat Advanced Cluster Security for Kubernetes 发现部署时,它会为部署中的每个容器类型创建一个进程基准。然后,它会将发现的进程添加到自己的进程基线中。
</discreet><discreet><title>进程基准状态</title>在进程发现阶段,所有基线都处于解锁状态。
处于 解锁 状态:
- 当 Red Hat Advanced Cluster Security for Kubernetes 发现新进程时,它会将该进程添加到进程基准中。
- 进程不会显示为风险,也不会触发任何违反情况。
在 Red Hat Advanced Cluster Security for Kubernetes 超时后,当 Red Hat Advanced Cluster Security for Kubernetes 收到来自部署中的容器的第一个进程指示符后,它会完成进程发现阶段。此时:
- Red Hat Advanced Cluster Security for Kubernetes 停止在进程基准中添加进程。
- 没有包括在进程基准中的新进程会显示为风险,但它们不会触发任何违反情况。
要生成违反情况,您必须手动锁定进程基线。
处于 锁定状态 :
- Red Hat Advanced Cluster Security for Kubernetes 停止在进程基准中添加进程。
- 不存在于进程基准中的新进程会触发冲突。
独立于锁定或解锁的基准状态,您总是可以在基线中添加或删除进程。
对于一个部署,如果每个 pod 中存在多个容器,Red Hat Advanced Cluster Security for Kubernetes 为每种容器类型创建一个进程基准。对于这样的部署,如果某些基准被锁定并且一些基准被解锁,则部署的基准状态显示为 Mixed。
3.6.1. 查看进程基准
您可以从 风险 视图查看进程基准。
流程
- 在 RHACS 门户,从 导航菜单中选择风险。
- 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment 详情面板中,选择 Process Discovery 选项卡。
- 进程基准在 Spec Container Baselines 部分可见。
3.6.2. 在基线中添加进程
您可以在基线中添加进程。
流程
- 在 RHACS 门户,从 导航菜单中选择风险。
- 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment 详情面板中,选择 Process Discovery 选项卡。
- 在 Running Process 部分,点您要添加到进程基准进程的 Add 图标。
Add 图标仅适用于不在进程基准中的进程。
3.6.3. 从基线中删除进程
您可以从基线中删除进程。
流程
- 在 RHACS 门户,从 导航菜单中选择风险。
- 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment 详情面板中,选择 Process Discovery 选项卡。
- 在 Spec Container baselines 部分,点您要从进程基准中删除的进程的 Remove 图标。
3.6.4. 锁定和解锁进程基准
您可以锁定基线,以为所有没有列在基线中的进程触发违规,也可以取消锁定基线来停止触发违规。
流程
- 在 RHACS 门户,从 导航菜单中选择风险。
- 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment 详情面板中,选择 Process Discovery 选项卡。
在 Spec Container baselines 部分:
- 点击 Lock 图标触发基线中不在的进程的违反情况。
- 点击 Unlock 图标为不在基准中的进程停止触发违反情况。