OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(附视频)

已于 2024-06-27 20:36:35 修改
阅读量378 收藏
点赞数
分类专栏: DevOps 安全 OpenShift 4 文章标签: docker 容器 kubernetes OpenShift devsecops
于 2022-07-28 09:59:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/125816727
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.15 + RHACS 4.4.3环境中验证

文章目录

ACS 安全策略场景

在 RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。

本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。
在这里插入图片描述

创建 ACS 安全策略

  1. 进入 RHACS 的 Platform Configuration -> Policy Management 菜单,然后点击 Create Policy 按钮。
  2. 在 Create policy 页面中的 Policy details 步骤中提供以下配置,然后点击 Next。
    Name:Image Policy - Production
    Severity:Medium
    Categories:DevOps Best Pratices
    Description:在生产环境中禁用来自 docker.io 的镜像
    Rationale:在生产环境中禁用来自 docker.io 的镜像,安全风险较高
    Guidance:请在生产环境中使用来自非 docker.io 的镜像
  3. 在 Create policy 页面中的 Policy behavior 步骤中提供以下配置,然后点击 Next。
    Lifecycle stages:Build,Deploy
    Response method:Inform and enforce
    Configure enforcement behavior:Enforce on Build,Enforce on Deploy
  4. 在 Create policy 页面中的 Policy criteria 步骤中将右侧的 Image registry 拖拽到 Drop a policy field inside,然后在下方填入 docker.io。进行点击 Next。在这里插入图片描述
  5. 在 Create policy 页面中的 Policy scope 步骤中打开 Add inclusion scope,在 Cluster 中选择需要保护的 OpenShift 集群。然后点击 Next。
    在这里插入图片描述
  6. 在最后一步中点击 Save 即可。

部署测试镜像

  1. 在 OpenShift 控制台中使用 “导入 YAML” 功能创建以下 Deployment,其中使用了 docker.io/openshift/hello-openshift 镜像。
kind: Deployment
apiVersion: apps/v1
metadata:
  name: hello-openshift
  labels:
    app: hello-openshift
    app.kubernetes.io/name: hello-openshift
    app.kubernetes.io/part-of: hello-openshift-app
spec:
  replicas: 1
  selector:
    matchLabels:
      app: hello-openshift
  template:
    metadata:
      labels:
        app: hello-openshift
    spec:
      containers:
        - name: hello-openshift
          image: docker.io/openshift/hello-openshift
          ports:
            - containerPort: 8080
              protocol: TCP
            - containerPort: 8888
              protocol: TCP

  1. 确认出现以下错误提示。
    在这里插入图片描述

  2. 将镜像换成 quay.io/dawnskyliu/hello-openshift 后重新创建 Deployment,确认可以成功创建。

kind: Deployment
apiVersion: apps/v1
metadata:
  name: hello-openshift
  labels:
    app: hello-openshift
    app.kubernetes.io/name: hello-openshift
    app.kubernetes.io/part-of: hello-openshift-app
spec:
  replicas: 1
  selector:
    matchLabels:
      app: hello-openshift
  template:
    metadata:
      labels:
        app: hello-openshift
    spec:
      containers:
        - name: hello-openshift
          image: quay.io/dawnskyliu/hello-openshift
          ports:
            - containerPort: 8080
              protocol: TCP
            - containerPort: 8888
              protocol: TCP

演示视频

视频

参考

https://docs.openshift.com/acs/3.71/operating/manage-security-policies.html

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
openshift-gitops-rhacm:使用RHACM和Argo CD管理OpenShift集群的示例
03-15
使用RHACM和Argo CD管理OpenShift / Kubernetes集群 部署使用: $ oc apply --kustomize bootstrap 概述 使用的组件: (RHACM) 部署新的OpenShift集群 在集线器群集和受管群集上部署外部机密 在集线器群集上...
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 730
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(视频
多恩斯基的博客
12-16 1264
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift Security 15 - 用 RHACS安全策略管理运行中的容器安全
多恩斯基的博客
01-15 2860
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 + RAHACS 环境中进行验证。 创建 RHACS 的 Policy 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。 { "policies": [ { "id": "e0a224d9-ca08-
OpenShift 4 - 提升客户端访问 API Server 安全
多恩斯基的博客
04-20 944
OpenShift / RHEL / DevSecOps 汇总目录》 文章目录kubeconfig 文件的作用kubeconfig 文件构成用户认证 Token了解 OpenShift 认证和 Token 关系更改 Token 有效时间,增强客户端访问安全参考 kubeconfig 文件的作用 OpenShiftKubernetes 的客户端每次向 OpenShiftKubernetes 发出命令,Kubernetes 都需要对其身份进行识别。如果 Kubernetes 识别出客户端没有认证登录
OpenShift Security (4) - 查看集群中镜像的安全漏洞
多恩斯基的博客
12-08 529
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 环境中进行验证。 容器的安全漏洞来自镜像,红帽 ACS 产品是根据 http://definitions.stackrox.io/ 对其管理的 OpenShiftKubernetes 集群上的镜像进行安全漏洞扫描。 进入 ACS 的 “Vlunerability Management” 可以从各角度查看镜像中包含的安全漏洞。可以点击进入下图右上方 “TOP RISKIEST IMAGES” 区域的 “VIEW ALL”。
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
openshift-diy-spring-boot-sample:openshift-diy-spring-boot-sample
06-21
可以在以下位置找到 OpenShift diy墨盒文档: 先决条件 在开始构建应用程序之前,我们需要安装一个 OpenShift 免费帐户和客户端工具。 第 1 步:创建 DIY 应用程序 要使用客户端工具创建应用程序,请键入以下命令: ...
fuse-openshift-debezium-tutorial:使用Strimzi和JBoss Fuse使用者样本进行OpenShift的Debezium教程
04-30
保险丝-openshift-debezium-教程 使用JBoss Fuse Integration Service使用者样本完成了OpenShift上的。 先决条件 假定您正在运行某种可用的OpenShift集群实例。 此实例可以采用多种形式,具体取决于您的环境和需求:...
OpenShift Security (17) - 将 OpenShift Compliance Operator 的合规扫描集成到 RHACS
多恩斯基的博客
07-17 598
本文介绍如何把 OpenShift Compliance Operator 和 RHACS 进行集成,从而可以在 RHACS 控制台中查看 OpenShift CIS 基线合规扫描结果。
OpenShift Security (2) - 安装 Red Hat Advanced Cluster SecurityRHACS
多恩斯基的博客
12-07 1267
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境中进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
OpenShift 4 - 在 Jenkins 的 CI/CD 中用 RHACS 对镜像进行安全扫描(视频
多恩斯基的博客
09-06 1278
本文使用OpenShift使用由 Jenkins、Nexus、Sonarqube、RHACS 组成的 DevSecOps CICD Pipeline 环境对应用镜像进行安全扫描检查。在发现安全违规后,通过升级应用使用 Java 库、基础镜像等手段修复应用镜像,同时对暂时无法修复的安全违规项目进行暂缓处理。
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(视频
多恩斯基的博客
04-01 472
workspace PVC: petclinic-build-workspace maven-settings Config Map: maven-settings oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全(视频
多恩斯基的博客
04-02 3562
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.10 环境中进行验证。 在基于 DevSecOps 的应用发布过程中,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。 但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。 参照《OpenShift 4
OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(视频
多恩斯基的博客
12-22 1184
oc new-project project1 oc label namespace project1 name=project1 oc new-project project2 oc label namespace project2 name=project2 oc new-project project3 oc label namespace project3 name=project3 oc new-app -n project1 openshiftroadshow/parksmap.
OpenShift Security (13) - 用 RHACS 为应用自动生成 NetworkPolicy
多恩斯基的博客
01-05 502
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(视频
多恩斯基的博客
01-23 1038
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境中进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用 向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(视频
多恩斯基的博客
01-15 2874
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境中统一管理多 OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。
openshift internal-registry 切换 sc
最新发布
05-25
oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值