3.6. 使用进程基准

您可以使用流程基础来最大程度降低基础架构安全性的风险。通过这种方法,Red Hat Advanced Cluster Security for Kubernetes 首先发现现有的进程并创建基准。然后,它以默认的 deny-all 模式运行,只允许在基准中运行列出的进程。

<discreet><title>进程基准</title>

安装 Red Hat Advanced Cluster Security for Kubernetes 时,没有默认的进程基准。当 Red Hat Advanced Cluster Security for Kubernetes 发现部署时,它会为部署中的每个容器类型创建一个进程基准。然后,它会将发现的进程添加到自己的进程基线中。

</discreet>
<discreet><title>进程基准状态</title>

在进程发现阶段,所有基线都处于解锁状态。

处于 解锁 状态:

  • 当 Red Hat Advanced Cluster Security for Kubernetes 发现新进程时,它会将该进程添加到进程基准中。
  • 进程不会显示为风险,也不会触发任何违反情况。

在 Red Hat Advanced Cluster Security for Kubernetes 超时后,当 Red Hat Advanced Cluster Security for Kubernetes 收到来自部署中的容器的第一个进程指示符后,它会完成进程发现阶段。此时:

  • Red Hat Advanced Cluster Security for Kubernetes 停止在进程基准中添加进程。
  • 没有包括在进程基准中的新进程会显示为风险,但它们不会触发任何违反情况。

要生成违反情况,您必须手动锁定进程基线。

处于 锁定状态

  • Red Hat Advanced Cluster Security for Kubernetes 停止在进程基准中添加进程。
  • 不存在于进程基准中的新进程会触发冲突。

独立于锁定或解锁的基准状态,您总是可以在基线中添加或删除进程。

注意

对于一个部署,如果每个 pod 中存在多个容器,Red Hat Advanced Cluster Security for Kubernetes 为每种容器类型创建一个进程基准。对于这样的部署,如果某些基准被锁定并且一些基准被解锁,则部署的基准状态显示为 Mixed

</discreet>

3.6.1. 查看进程基准

您可以从 风险 视图查看进程基准。

流程

  1. 在 RHACS 门户, 导航菜单中选择风险。
  2. 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
  3. Deployment 详情面板中,选择 Process Discovery 选项卡。
  4. 进程基准在 Spec Container Baselines 部分可见。

3.6.2. 在基线中添加进程

您可以在基线中添加进程。

流程

  1. 在 RHACS 门户, 导航菜单中选择风险。
  2. 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
  3. Deployment 详情面板中,选择 Process Discovery 选项卡。
  4. Running Process 部分,点您要添加到进程基准进程的 Add 图标。
注意

Add 图标仅适用于不在进程基准中的进程。

3.6.3. 从基线中删除进程

您可以从基线中删除进程。

流程

  1. 在 RHACS 门户, 导航菜单中选择风险。
  2. 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
  3. Deployment 详情面板中,选择 Process Discovery 选项卡。
  4. Spec Container baselines 部分,点您要从进程基准中删除的进程的 Remove 图标。

3.6.4. 锁定和解锁进程基准

您可以锁定基线,以为所有没有列在基线中的进程触发违规,也可以取消锁定基线来停止触发违规。

流程

  1. 在 RHACS 门户, 导航菜单中选择风险。
  2. 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
  3. Deployment 详情面板中,选择 Process Discovery 选项卡。
  4. Spec Container baselines 部分:

    • 点击 Lock 图标触发基线中不在的进程的违反情况。
    • 点击 Unlock 图标为不在基准中的进程停止触发违反情况。