OpenShift Security 15 - 用 RHACS 的安全策略管理运行中的容器安全

已于 2024-06-27 15:08:10 修改
阅读量2.8k 收藏
点赞数
分类专栏: OpenShift 4 安全 DevOps 文章标签: 容器 安全 kubernetes
于 2022-01-15 20:57:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/122514219
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
本文在 OpenShift 4.15 + RAHACS 4.4.3 环境中进行验证。

创建 RHACS 的 Policy

  1. 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。
    在这里插入图片描述
{
    "policies": [
        {
            "id": "e0a224d9-ca08-48c7-8164-7325245257d8",
            "name": "有 Curl 运行",
            "description": "在容器中运行了 Curl 命令",
            "rationale": "Curl 有可能下载能具有风险的文件",
            "remediation": "可以删除镜像中的 Curl 以便提升安全性",
            "disabled": false,
            "categories": [
                "Security Best Practices"
            ],
            "fields": null,
            "lifecycleStages": [
                "RUNTIME"
            ],
            "eventSource": "DEPLOYMENT_EVENT",
            "whitelists": [],
            "exclusions": [],
            "scope": [
                {
                    "cluster": "",
                    "namespace": "production",
                    "label": null
                }
            ],
            "severity": "LOW_SEVERITY",
            "enforcementActions": [
                "KILL_POD_ENFORCEMENT",
                "FAIL_KUBE_REQUEST_ENFORCEMENT"
            ],
            "notifiers": [],
            "lastUpdated": "2022-01-15T10:30:09.564919243Z",
            "SORTName": "",
            "SORTLifecycleStage": "",
            "SORTEnforcement": false,
            "policyVersion": "1.1",
            "policySections": [
                {
                    "sectionName": "Policy Section 1",
                    "policyGroups": [
                        {
                            "fieldName": "Process Name",
                            "booleanOperator": "OR",
                            "negate": false,
                            "values": [
                                {
                                    "value": "curl"
                                }
                            ]
                        }
                    ]
                }
            ],
            "mitreAttackVectors": [],
            "criteriaLocked": false,
            "mitreVectorsLocked": false,
            "isDefault": false
        }
    ]
}
  1. 在 RHACS 控制台中进入 Platform Configuration 的 System Policies,然后通过 “Import a policy” 图标将上面的 JSON 内容导入到 RHACS。
    在这里插入图片描述
  2. 进入 ““有 Curl 运行”” 策略,可以在 “Policy behavior” 区域看到它是作用在 Runtime 阶段,对 Namespace 为 production 范围运行的 curl 进程进行监控,一旦发现策略违规就使用 Enforce 方式进行响应。
    在这里插入图片描述

部署测试应用

  1. 在 OpenShift 中创建 development 和 production 项目。
oc new-project development
oc new-project production
  1. 分别在 development 和 production 项目中部署 “registry.access.redhat.com/rhscl/httpd-24-rhel7” 镜像。
oc new-app --image=registry.access.redhat.com/rhscl/httpd-24-rhel7 --name=httpd-development -n development
oc new-app --image=registry.access.redhat.com/rhscl/httpd-24-rhel7 --name=httpd-production -n production

验证

  1. 先在 development 项目中的 Pod 运行 curl 命令,确认可以正常运行。
$ oc project development
$ oc exec deploy/httpd-development -- curl http://www.baidu.com -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  2381  100  2381    0     0   7369      0 --:--:-- --:--:-- --:--:--  7394
  1. 然后在 production 项目中的 Pod 运行 curl 命令,确认最后会提示 “command terminated with exit code 143”。
$ oc project production
$ oc exec deploy/httpd-production -- curl http://www.baidu.com -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0command terminated with exit code 143
  1. 查看 httpd-production 部署的 Event,确认有提示 Pod 因违反 ““有 Curl 运行”” 的策略被 killed。
$ oc describe deploy httpd-production -n production
。。。
Events:
  Type     Reason                Age    From                   Message
  ----     ------                ----   ----                   -------
  Normal   ScalingReplicaSet     140m   deployment-controller  Scaled up replica set httpd-production-6fbdfc6465 to 1
  Warning  StackRox enforcement  122m   stackrox/sensor        A pod (httpd-production-6fbdfc6465-9gnpq) violated StackRox policy "有 Curl 运行" and was killed
  1. 在 RHACS 的 Violations 中确认也有““有 Curl 运行”” 的违规记录。
    在这里插入图片描述
  2. 在违规记录中可以看到 curl 命令使用的参数和相关 Deployment 等。
    在这里插入图片描述
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-jee-sample:将在openshift环境部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 712
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(附视频)
多恩斯基的博客
07-28 363
RHACS 自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(附视频)
多恩斯基的博客
12-16 1214
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift Security (17) - 将 OpenShift Compliance Operator 的合规扫描集成到 RHACS
多恩斯基的博客
07-17 568
本文介绍如何把 OpenShift Compliance Operator 和 RHACS 进行集成,从而可以在 RHACS 控制台查看 OpenShift CIS 基线合规扫描结果。
OpenShift Security (2) - 安装 Red Hat Advanced Cluster SecurityRHACS
多恩斯基的博客
12-07 1207
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
openshift-restclient-python:适用于OpenShift API的Python客户端
05-01
现在不推荐使用的第一种方法是使用API​​规范大张旗鼓地生成的模型和函数。 第二种新方法是使用单个模型和客户端来与服务器上的所有资源进行常规交互。 动态客户端还可以使用由聚合的API服务器或“自定义资源...
openshift-container-platform:Azure上的OpenShift容器平台
04-30
OpenShift容器平台3部署模板 注意:回购的结构 Master分支已更新,以部署版本3.11 已完成重大更新-部署前请先阅读 master分支包含OpenShift Container Platform 3的最新版本,当前版本为3.11。 我们将仅维护OCP当前...
openshift-vs-pivotal-cloud-foundry.pdf
06-28
两大paas开源平台 openshift 和 cloud foundry 对比,可用于选型参考。
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全(附视频)
多恩斯基的博客
04-02 3552
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.10 环境进行验证。 在基于 DevSecOps 的应用发布过程,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。 但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。 参照《OpenShift 4
OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(附视频)
多恩斯基的博客
12-22 1171
oc new-project project1 oc label namespace project1 name=project1 oc new-project project2 oc label namespace project2 name=project2 oc new-project project3 oc label namespace project3 name=project3 oc new-app -n project1 openshiftroadshow/parksmap.
OpenShift Security (13) - 用 RHACS 为应用自动生成 NetworkPolicy
多恩斯基的博客
01-05 496
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(附视频)
多恩斯基的博客
01-23 1016
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用 向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
OpenShift Security 14 - 使用 RHACS 的进程基线功能找出在容器运行的风险操作(附视频)
多恩斯基的博客
01-15 2867
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境统一管理OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 使用 IPI方法自动安装一个 OpenShift 集群的过程。
K8S应用流程安全(镜像安全 配置管理 访问安全
m0_46690280的博客
07-10 1843
这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。
OpenShift - 利用容器的特权配置实现对OpenShift攻击,以及如何使用 PSA 和 RHACS 防范风险(视频)
最新发布
多恩斯基的博客
11-03 322
本文是《容器安全 - 利用容器的特权配置实现对Kubernetes攻击》的后续篇,来介绍 在 OpenShift 环境容器特权配置和攻击过程和 Kubernetes 环境的差异。
【转】Docker容器镜像安全最佳实践指南
tpriwwq的专栏
04-16 2069
在企业信息系统安全与业务是同样重要, 随着传统运维方式向着容器化运维方式的转变,当下企业里通常都会采用Docker来进行容器化部署和承载业务。Docker容器安全也是重之重, 它关乎着应用与数据安全,其也关乎着宿主机的安全
用Trivy扫描容器镜像
多恩斯基的博客
12-20 594
OpenShift 4.x HOL教程汇总》 红帽 RHACS 支持自动对其管理OpenShiftKubernetes 上的容器进行漏洞扫描、合规评估。在 RHACS 使用了开源的 Clair 来扫描镜像,而红帽 Quay 使用的镜像扫描也是 Clair。因为 RHACS 和 Quay 都是企业平台,因此对运行环境的要求较高。而 Trivy 是一个轻量级漏洞扫描工具,支持基于 CVE 对常用的 Linux 、镜像和应用进行安全扫描。 以下是使用Trivy扫描镜像的过程: $ curl -OL
openshift internal-registry 切换 sc
05-25
要在 OpenShift 切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值