Red Hat Advanced Cluster Security for Kubernetes 支持政策
概述
Red Hat Advanced Cluster Security for Kubernetes (Red Hat Advanced Cluster Security 或 ACS) 提供了解决 Kubernetes 上云原生开发方法的安全需求的工具和功能。 ACS 解决方案可以通过审核、网络分段意识和配置、安全风险分析、与安全相关的配置管理、威胁检测和事件响应了解集群、漏洞管理和安全合规性。 另外,ACS 授予通过 API 深入了解应用程序代码开发流程的权限。 这些安全功能代表了任何开发人员或管理员在各种环境中工作的主要工作,包括运行 Kubernetes 集群的多个数据中心、私有云或公共云。
功能
使用 Red Hat Advanced Cluster Security for Kubernetes (Red Hat Advanced Cluster Security),您可以获取包括以下用例的综合 Kubernetes 安全性:
- 可见性: 查看您的镜像、registry、容器、部署和运行时行为的整个环境。
- 安全漏洞管理:在整个软件开发生命周期中,标识和修复容器镜像和 Kubernetes 中的漏洞。
- 合规性:通过交互式仪表板和一键审计功能针对 CIS 基准、NIST、PCI 和 HIPAA 审计您的系统。
- 网络分割:使用 Kubernetes 原生控件可视化现有连接并强制实施更紧密的分段,以减少您的漏洞利用。
- 风险档案:使用 Kubernetes 声明数据的上下文,了解风险级别的所有部署排名,以优先选择补救。
- 配置管理:应用 Docker 和 Kubernetes 的最佳实践,以强化您的环境以进行更安全稳定的应用程序。
- 威胁检测:使用规则、自动允许列表和基础,准确识别正在运行的应用程序中可疑活动。
- 事件响应:通过 Kubernetes,在从失败构建和阻塞的部署到终止 pod、防止安全攻击时,强制执行相应的操作。
支持的 Red Hat Advanced Cluster Security for Kubernetes
Red Hat Advanced Cluster Security 有 2 个主要架构组件,组件带有子组件:
- 一个服务器组件,称为"Central",扫描程序、持久性存储、API 服务器和用户界面在其中运行。
- 一个分布式架构,其中一个 "Collector" 在集群中的每个节点上运行,一个单独的"Sensor"在每个受管的集群中运行,一个单独的"Admission Controller"在每个受管的集群中运行。 有 3 个组件会在所有 Kubernetes 集群上安装,并由 "Central" 进行管理。
| 受管服务平台[1] | 对 Central 的支持 | 支持的安全集群 |
|---|---|---|
| Red Hat OpenShift Dedicated (OSD) | 是[3] | 是[3] |
| Azure Red Hat OpenShift (ARO) | 是[3] | 是[3] |
| Red Hat OpenShift Service on AWS (ROSA) | 是[3] | 是[3] |
| Amazon Elastic Kubernetes Service (Amazon EKS) | 有限[2] | 是 |
| Google Kubernetes Engine (Google GKE) | 有限[2] | 是 |
| Microsoft Azure Kubernetes Service (Microsoft AKS) | 有限[2] | 是 |
| 自我管理的平台[1] | 对 Central 的支持 | 支持的安全集群 |
|---|---|---|
| Red Hat OpenShift Container Platform (OCP) 4.x* | 是 | 是 |
| Red Hat OpenShift Kubernetes Engine (OKE) 4.x | 否 | 是 |
| 支持的构架 | 对 Central 的支持 | 支持的安全集群 |
|---|---|---|
| AMD64 | 是 | 是 |
| ppc64le (IBM Power) | 否 | 是(仅限 OpenShift Container Platform 版本 4.12) |
| s390x (IBM zSystems 和 IBM® LinuxONE) | 否 | 是(仅限 OpenShift Container Platform 版本 4.10 和 4.12) |
功能支持
前面提到的在 Red Hat Advanced Cluster Security for Kubernetes 中存在的功能由上表中列出的所有受支持的平台提供,但准入控制器除外。 目前,只有架构组件仅限于特定的 Kubernetes 发行版本。
生命周期
在发布之后最多 6 个月提供对 Red Hat Advanced Cluster Security for Kubernetes (ACS) 软件版本的支持。 在此时间段以外,您可能会要求升级到最新的 RHACS 版本以获取完全支持。
Red Hat Advanced Cluster Security for Kubernetes 生命周期日期如下:
注: 对于 RHACS 3.74,在这个版本中添加了额外的 3 个月的维护支持,将原始支持从 2023 年 8 月 27 日扩展到 2023 年 11 月 27 日,以便客户有更多时间迁移到 RHACS 4.0。 在此阶段,级别为“关键(Critical)”和”重要(Important)”的安全勘误公告(RHSA),以及级别为“紧急(Urgent)”和精选的级别为“高(Hight)”的程序错误修复公告(RHBA)可能一旦可用就会发布。 Red Hat 可自主裁量发布其他程序错误修复(以及功能增强(RHEA)公告,但并不确定。
并购支持信息
Red Hat Advanced Cluster Security for Kubernetes (ACS) 是一个并购的产品。 如果您已具有 StackRox 的支持关系,则该支持关系将继续有效。 对于在并购时已是 StackRox 的现有客户,仍然会继续获得相关的支持,如 StackRox 文档所述。
备注
- 对任何平台的支持可能受架构平台的生命周期和日期结束的影响
- Advanced Cluster Security for Kubernetes (ACS) Central 已经过测试、在 Red Hat OpenShift 4 中被完全支持。 在非 OpenShift 4 环境中部署和使用 Central 是可能的,但支持仅限于 ACS 产品软件,而不包括对底层的基础架构供应商的支持。 作为诊断和隔离问题的一部分,客户可能会要求在 OpenShift 4 环境中重现相关的问题。 如果一个问题特定于一个供应商且使用的集群不是 OpenShift 4 集群,红帽会提供合理的商业支持来隔离问题。 客户可能需要与相应的供应商联系以获得支持。 请参阅红帽第三方支持政策。
- Advanced Cluster Security for Kubernetes (ACS) 作为受管的、满足 ACS 的先决条件中的安装和大小设置的 OpenShift 服务的自我管理插件。 ACS 组件的部署和管理不属于受管服务的服务描述,因此 ACS 不会包含在 SRE 服务中。
