发行注记

Red Hat Advanced Cluster Security for Kubernetes 3.72

Red Hat Advanced Cluster Security for Kubernetes 发行版本的主要新功能及变化信息

Red Hat OpenShift Documentation Team

摘要

此发行注记介绍了 Red Hat Advanced Cluster Security for Kubernetes 的新功能、功能增强、重要的技术变化、弃用和删除的功能、程序错误修正以及任何已知问题的信息。

第 1 章 Red Hat Advanced Cluster Security for Kubernetes 3.72

Red Hat Advanced Cluster Security for Kubernetes (RHACS)是一个企业级的 Kubernetes 原生容器安全解决方案,可在应用程序生命周期的构建、部署和运行时阶段保护您的重要应用程序。它在您的基础架构中部署,并可以与您的 DevOps 工具和工作流集成,以提供更好的安全性和合规性,同时使 DevOps 和 InfoSec 团队能够确保安全。

表 1.1. 发行日期

RHACS 版本发布日期

3.72.0

2022 年 9 月 26 日

3.72.1

2022 年 10 月 20 日

3.72.2

2022 年 12 月 1 日

3.72.3

2023 年 1 月 12 日

3.72.4

2023 年 3 月 6 日

1.1. 关于此版本

RHACS 3.72 包括:

  • 从 RHACS 自动删除非活跃集群
  • 支持非验证的电子邮件集成
  • 支持 Quay 机器人帐户
  • 可以查看在带有常见漏洞和暴露(CVE)组件的镜像中的 Dockerfile 行。
  • 网络图改进
  • 扫描对 Red Hat Enterprise Linux 9 的支持
  • 默认禁用带有可修复为 6 或更高版本的 CVSS 的 CVE 策略
  • 额外的功能增强和程序错误修复

1.2. 新功能

1.2.1. 从 RHACS 自动删除非活跃集群

RHACS 提供了将系统配置为从 RHACS 自动删除非活跃集群的功能,以便您只能监控活跃集群。请注意,只有安装并执行一个使用 Central 的握手(至少一次)被首先监控的集群。如果启用了这个功能,当在 Decommissioned cluster age 字段中配置的时间无法访问集群中的 Sensor 时,集群会在 RHACS 中被视为非活跃。然后,中央将不再监控非活跃集群。您可以在 Platform ConfigurationSystem Configuration 页面中配置 Decommissioned cluster age 字段。在配置此功能时,您可以为集群添加标签,以便 RHACS 继续监控集群,即使它变得不活跃。如需更多信息,请参阅配置从 RHACS 自动创建非活跃集群

1.2.2. 支持未经身份验证的电子邮件集成

RHACS 现在支持未经身份验证的 SMTP 来电子邮件集成。这是不安全的,我们不推荐使用。但是,您可能需要将未经身份验证的 SMTP 用于某些集成;例如,如果将内部服务器用于不需要身份验证的通知,则可能需要使用内部服务器。如需更多信息,请参阅配置电子邮件插件

1.2.3. 支持 Quay 机器人帐户

RHACS 现在支持在 quay.io 集成中使用机器人帐户。您可以在 Quay 中创建机器人帐户,用于共享凭据,以便在多个存储库中使用。机器人帐户通过 Quay Container Registry 进行身份验证,并替换 Quay 弃用的 OAuth 令牌。如需更多信息,请参阅 手动配置 Quay Container Registry

1.2.4. 可以查看在带有常见漏洞和暴露(CVE)组件的镜像中的 Dockerfile 行。

Images 视图的 Image Findings 下,您可以查看 Dockerfile 中的单独的行,该 Dockerfile 中引入了作为包含 CVE 的组件。要查看此信息,请在 Image Findings 页面中提供的 CVE 列表中选择 CVE。在 Affected Components 列中,点 < number> 组件 链接。您可以扩展显示来显示包含 CVE 的组件的行。如需更多信息,请参阅通过 CVE 引入组件的镜像中的识别 Dockerfile 行

1.2.5. 网络图改进

RHACS 3.72 对网络图形包括以下改进:

  • 网络图中的更新图例显示符号和解释文本。在改进之前,所需的图例需要将鼠标悬停在代表命名空间、部署和连接的符号上。
  • 有时,图形视图边缘没有连接节点的边缘,并在命名空间上重叠。这个问题已被解决。
  • 在这个版本中,当查看 YAML 文件时,RHACS 会显示相同的格式和接口。在改进前,YAML 文件查看器实例会有差异。

1.2.6. 文档更新

RHACS 文档已更新,以包含 默认安全策略的列表

1.3. 主要的技术变化

1.3.1. 扫描对 Red Hat Enterprise Linux 9 的支持

RHEL 9 现已正式发布(GA)。RHACS 3.72 引进了对使用 Red Hat Universal Base Image (UBI) 9 和 Red Hat Enterprise Linux (RHEL) 9 RPM 中构建的镜像的支持。

1.3.2. 默认禁用带有可修复为 6 或更高版本的 CVSS 的 CVE 策略

从这个版本开始,对于新的 RHACS 安装,默认不会启用 Fixable CVSS >= 6 和 Privileged 策略。升级现有系统时不会更改此策略的配置。添加了具有重要 和关键修复 CVE 的新策略 Privileged Containers,它会为在具有重要或严重可修复的漏洞中运行的容器提供警报。新的策略也处于 Deploy 生命周期中。已知漏洞可以更容易地利用您的应用程序,并且高度授权的容器带来更大的风险。您可以通过更新到受影响组件的较新版本,或使用较低权限运行容器来修复这些高风险漏洞。

1.4. 弃用和删除的功能

之前版本中的一些功能已被弃用或删除。

弃用的功能仍然包含在 RHACS 中,并且仍然被支持。但是,这个功能会在以后的发行版本中被删除,且不建议在新的部署中使用。有关已弃用和删除的主要功能的最新列表,请参考下表。表后提供了有关某些删除或已弃用功能的附加信息。

在下表中,被标记为以下状态的功能:

  • GA: 正式发行 (GA)
  • TP: 技术预览
  • DEP:弃用
  • REM: 删除

表 1.2. 弃用和删除的功能

类别功能RHACS 3.70RHACS 3.71RHACS 3.72

API

端点:

  • RenamePolicyCategory
  • DeletePolicyCategory

DEP

DEP

DEP

API

v1/nodes 的响应有效数据的 storage.Node 对象的 vulns 字段

GA

DEP

DEP

API

  • /v1/cves/suppress
  • /v1/cves/unsuppress

如需更多信息,请参阅"接收功能"下的 1

GA

DEP

DEP

API

/v1/cves/suppress/v1/cves/unsuppress RHACS 有效负载中的 ID 字段

GA

DEP

DEP

API

VulnerabilityRequestService 端点的响应中的 storage.VulnerabilityRequest 对象的 cves.ids 字段

GA

DEP

DEP

API

组的属性检索字段。

如需更多信息,请参阅"接收功能"下的 2

GA

DEP

DEP

权限

ClusterCVE

如需更多信息,请参阅"接收功能"下的 3

GA

GA

DEP

权限

权限集的权限。

如需更多信息,请参阅"接收功能"下的 4

GA

DEP

DEP

Tags

支持违反标签和进程标签

DEP

DEP

REM

扫描

支持 Ubuntu 21.10

GA

GA

DEP

搜索选项

  • 标签
  • 注解

如需更多信息,请参阅"接收功能"下的 5

GA

GA

DEP

1.4.1. 已弃用的功能

本节提供有关上表中列出的一些已弃用功能的其他信息。

  1. /v1/cves/suppress/v1/cves/unsuppress 已被弃用,并将在以后的版本中删除。删除后:

    • 使用 /v1/imagecves/suppress/v1/imagecves/unsuppress to snooze 和 unsnooze 镜像漏洞。
    • 使用 /v1/nodecves/suppress/v1/nodecves/unsuppress to snooze and unsnooze 节点和主机漏洞。
    • 使用 /v1/clustercves/suppress/v1/clustercves/unsuppress to snooze 平台(Kubernetes、Istio 和 OpenShift Container Platform)安全漏洞。

  2. 在以前的版本中,使用字段 props 检索组:props.authProviderIdprops.keyprops.value。此字段将被新的 props.id 字段替代。使用 props.id 字段来检索 RHACS API 中的组。注意以下几点:

    • 使用 props 字段检索将在以后的版本中删除。
    • 在移除之前,如果结果不清(一个带有 props 字段,没有找到多个组),则使用 props 字段进行检索。
  3. 权限 ClusterCVE 已被弃用,并将被现有权限 Cluster 取代。

  4. 权限集的权限将被分组以表示表示。以下列表描述了新权限,并指示将在以后的版本中删除的已弃用权限:

    • Access 权限将替换以下权限:AuthProvider, Group, Licenses, Role, 和 User
    • DeploymentExtension 权限将替换以下权限: IndicatorNetworkBaselineProcessWhitelistRisk
    • 集成 权限将弃用以下权限: APITokenBackupPluginsImageIntegrationNotifierSignatureIntegration
    • Image 权限将替换 ImageComponent 权限。

  5. LabelAnnotation 搜索选项在 RHACS 中已被弃用,并将在 RHACS 3.73 版本中删除。它们将被替换为下表中列出的搜索选项。

    表 1.3. 搜索选项

    资源弃用的搜索选项新搜索选项

    节点

    标签

    节点标签

    节点

    注解

    节点注解

    命名空间

    标签

    命名空间标签

    Deployment

    标签

    部署标签

    ServiceAccount

    标签

    Service Account Label

    ServiceAccount

    注解

    Service Account 注解

    K8sRole

    标签

    角色绑定标签

    K8sRoleAnnotation

    注解

    角色绑定注解

1.4.2. Podsecuritypolicy (PSP)对象和 Kubernetes 1.25

RHACS 中进行了以下更改,以支持从 Kubernetes 1.25 中删除 PSP 对象:

  • 安装中默认创建 PSP 对象,以便向后兼容 1.25 之前的 Kubernetes 版本。但是,您可以通过在 Helm Chart 中设置 system.enablePodSecurityPolicies: false 来手动禁用 PSP 创建。
  • 自 RHACS 版本 3.71 开始,在 RHACS Helm 图表中增加了 auto-sensing。如果使用 Operator 或 Helm chart 安装 RHACS,而 RHACS 检测到 Kubernetes 版本 1.25 或更高版本,则它不会安装 PSP。如果您使用 roxctl CLI 安装 RHACS,则需要禁用 PSP 的使用,在 roxctl central generateroxctl sensor generate 命令中将 --enable-pod-security-policies 标志设置为 false

Kubernetes 用户必须在升级到 Kubernetes 版本 1.25 前为 PSP 禁用准入控制器插件。

1.4.3. 即将推出的 RHACS API 的更改

  • CSV 导出:从 RHACS 3.73 发行版本中开始,CSV 导出 API /api/vm/export/csv 将需要 CVE Type 过滤器作为输入查询参数的一部分。没有过滤器的请求将返回错误。CVE 类型的支持值为 IMAGE_CVEK8S_CVEISTIO_CVENODE_CVEOPENSHIFT_CVE

  • 抑制和取消压缩有效负载:

    • /v1/cves/suppress s/suppresss /v1/cves/unsuppress API 有效负载中的字段 ID 将重命名为 RHACS 3.73 发行版本中的 cves
    • VulnerabilityRequestService 端点的响应中的 storage.VulnerabilityRequest 对象的 cves.ids 字段将重命名为 RHACS 3.73 发行版本中的 cves.cves

1.5. 已知问题

当单个发行版中存在两个漏洞时,RHACS 会显示错误的严重性。这是因为 RHACS 范围按命名空间而不是组件划分。没有临时解决方案。预计即将推出的版本将包括针对此问题的修复。(ROX-12527)

1.6. 程序错误修复

1.6.1. 在版本 3.72.0 中解决

发布日期: 2022 年 9 月 26 日

  • 在此次更新之前,缺少为多个 URI 配置 OpenShift Container Platform OAuth 的步骤。本文档已被修改,包括在 OpenShift Container Platform 中配置 OAuth 的说明,以使用多个 URI。如需更多信息,请参阅为 OpenShift Container Platform OAuth 服务器创建其他路由。(ROX-11296)
  • 在此次更新之前,当集群从 Central 中删除时,不会对集群自动生成的镜像集成(如 Docker registry 集成)被删除。这个问题已被解决。(ROX-9398)
  • 在此次更新之前,镜像 OS 策略标准不支持正则表达式或 regex。但是,文档表示支持正则表达式。这个问题已通过 为镜像 OS 策略标准添加对正则表达式的支持来解决。(ROX-12301)
  • 在此次更新之前,syslog 集成不遵循配置的 TCP 代理。这个问题现已解决。
  • 在此次更新之前,扫描程序-db pod 在为 stackrox 命名空间设置资源配额时无法启动,因为 pod 中的 init-db 容器没有分配给它的任何资源。ScannerDBinit-db 容器现在指定与 db 容器匹配的资源请求和限值。(ROX-12291)

1.6.2. 在版本 3.72.1 中解决

发布日期: 2022 年 10 月 20 日

  • 由于 RHACS 3.72.0 中的一个错误,Collector pod 之前停止响应,并在为特定负载条件下为协议缓冲区堆分配内存块后停止响应并到达 segmentation 错误。补丁版本 3.72.1 解决了这个问题。
  • 在 RHACS 3.72.0 中,调度的漏洞报告持续报告零次漏洞,即使集群中的有 CVE 有 CVE。补丁版本 3.72.1 修复此错误,报告显示正确的 CVE。
  • 在 RHACS 3.72.0 中,当使用明确禁用 Pod 安全策略(PSP)的 roxctl CLI 创建部署捆绑包时,生成的捆绑包仍会为 PSP 创建清单。因此,在 Kubernetes 版本 1.25 或更高版本上部署时,安装部署捆绑包会失败。当您使用 roxctl CLI 指定 --enable-pod-security-policies=false 时,补丁版本 3.72.1 可以正确地禁用 PSP。

1.6.3. 在 3.72.2 版本中解决

发行日期: 2022 年 12 月 1 日

  • 在此次更新之前,如果 Central 下载损坏的 CVE 数据文件,它将失败并进入 CrashLoopBackOff 状态。补丁版本 3.72.2 解决了这个问题。

1.6.4. 在 3.72.3 版本中解决

发行日期: 2023 年 1 月 12 日

1.6.5. 在 3.72.4 版本中解决

发布日期: 2023 年 3 月 6 日

  • 此 RHACS 发行版本修复了 Docker 基础镜像中的 CVE-2022-47629
  • 在此次更新之前,当安全集群运行 OpenShift Container Platform 4.12 时,RHACS 不会显示运行时数据。如需更多信息,请参阅红帽知识库文章 RHACS 没有显示运行时数据。这个问题现已解决。
  • 在以前的版本中,因为警报协调工作流存在问题,Central 会在协调存储和新的运行时策略违反情况时崩溃。现在,当发生意外的运行时进程警报时,RHACS 会记录错误。(ROX-15198)

1.7. 镜像版本

镜像Description当前版本

Main

包括 Central、Sensor、Admission Controller 和 Compliance。还包括在持续集成(CI)系统中使用的 roxctl

registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.72

扫描程序

扫描镜像和节点。

registry.redhat.io/advanced-cluster-security/rhacs-scanner-rhel8:3.72

扫描程序数据库(Scanner DB)

存储镜像扫描结果和安全漏洞定义。

registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:3.72

Collector

收集 Kubernetes 或 OpenShift Container Platform 集群中的运行时活动。

  • registry.redhat.io/advanced-cluster-security/rhacs-collector-rhel8:3.72
  • registry.redhat.io/advanced-cluster-security/rhacs-collector-slim-rhel8:3.72

法律通告

Copyright © 2023 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.