OpenShift Security - 用 RHACS 为应用自动生成 NetworkPolicy

最新推荐文章于 2023-04-03 16:21:36 发布
最新推荐文章于 2023-04-03 16:21:36 发布
阅读量481 收藏 1
点赞数
分类专栏: OpenShift 4 安全 网络 文章标签: openshift network DevSecOps
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/128554076
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 77 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
网络
6 篇文章 0 订阅
订阅专栏

OpenShift / RHEL / DevSecOps / Ansible 汇总目录
说明:本文已经在 OpenShift 4.12 + RHACS 3.73.1 环境中验证

文章目录

什么是 NP-Guard

NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolicy 配置。

用 NP-Guard 自动生成 NetworkPolicy

  1. 先下载 3.73.1 以后版本的 RHACS 客户端 roxctl
$ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.73.1/bin/Linux/roxctl
$ chmod +x roxctl
  1. 下载测试资源,然后再创建 frontend.yaml 和 backend.yaml 中的资源。
$ git clone https://github.com/stackrox/stackrox.git
$ oc new-project np-demo
$ oc apply -f stackrox/tests/roxctl/bats-tests/test-data/np-guard/scenario-minimal-service/frontend.yaml
$ oc apply -f stackrox/tests/roxctl/bats-tests/test-data/np-guard/scenario-minimal-service/backend.yaml
  1. 在 RHACS 的 Network Graph 中确认此时的 frontend 和 backend 是没有 NetworkPolicy 的。
    在这里插入图片描述
  2. 运行命令分析上面 2 个文件,并在 np.yaml 文件中生成 NetworkPlolicy。
$ roxctl generate netpol stackrox/tests/roxctl/bats-tests/test-data/np-guard/scenario-minimal-service --output-file=np.yaml
$ more np.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  creationTimestamp: null
  name: backend-netpol
spec:
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - port: 9090
      protocol: TCP
  podSelector:
    matchLabels:
      app: backendservice
  policyTypes:
  - Ingress
  - Egress
status: {}

---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  creationTimestamp: null
  name: frontend-netpol
spec:
  egress:
  - ports:
    - port: 9090
      protocol: TCP
    to:
    - podSelector:
        matchLabels:
          app: backendservice
  - ports:
    - port: 53
      protocol: UDP
  ingress:
  - ports:
    - port: 8080
      protocol: TCP
  podSelector:
    matchLabels:
      app: frontend
  policyTypes:
  - Ingress
  - Egress
status: {}

---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  creationTimestamp: null
  name: default-deny-in-namespace
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
status: {}
  1. 运行命创建 NetworkPolicy。
$ oc apply -f np.yaml
  1. 在 RHACS 的 Network Graph 中确认此时的 frontend 和 backend 已经有 NetworkPolicy 了,并且是允许从 frontend 访问 backend。
    在这里插入图片描述

参考

https://github.com/np-guard/cluster-topology-analyzer/tree/main/tests

dawnsky.liu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
在VMware上自动配置OpenShift 4.6 该存储库包含一组手册,以帮助促进OpenShift 4.6在VMware上的部署。 OpenShift 4.6的更改 请注意,如果未对append bootstrap配置进行一些修改,则此安装程序将无法与OpenShift的...
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 694
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(附视频)
多恩斯基的博客
07-28 354
RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............
用Trivy扫描容器镜像
多恩斯基的博客
12-20 587
OpenShift 4.x HOL教程汇总》 红帽 RHACS 支持自动对其管理的 OpenShift 或 Kubernetes 上的容器进行漏洞扫描、合规评估。在 RHACS 中使用了开源的 Clair 来扫描镜像,而红帽 Quay 使用的镜像扫描也是 Clair。因为 RHACS 和 Quay 都是企业平台,因此对运行环境的要求较高。而 Trivy 是一个轻量级漏洞扫描工具,支持基于 CVE 对常用的 Linux 、镜像和应用进行安全扫描。 以下是使用Trivy扫描镜像的过程: $ curl -OL
OpenShift Security (2) - 安装 Red Hat Advanced Cluster SecurityRHACS
多恩斯基的博客
12-07 1177
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境中进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
Kubernetes安全解决方案--StackRox 安装篇
oasisss的博客
05-11 699
【版权声明】 本文首发于Huiling’s blog,欢迎转载,转载须保留作者Huiling的署名和原文链接。如您有合作/授权的需要,请留言:[email protected] author: Huiling 转载请注明原文来源:https://blog.csdn.net/oasisss/article/details/113753481 Linkedin: http://www.linkedin.com/in/huiling-miao-65872387/ Kubernetes安全解决方案–StackRox
openshift-auto-upi:OpenShift自动化的用户提供的基础结构
02-01
openshift-auto-upi:OpenShift自动化的用户提供的基础结构
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
OpenShift 4 - 在 DevOps 的构建、存储和运行阶段对容器镜像进行漏洞扫描(附视频)
多恩斯基的博客
04-03 383
说明:本文已经在 OpenShift 4.12 + RHACS 3.74 + RH Quay 3.8.4 等环境中验证。
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(附视频)
多恩斯基的博客
04-01 408
workspace PVC: petclinic-build-workspace maven-settings Config Map: maven-settings oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(附视频)
多恩斯基的博客
01-23 1001
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境中进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
OpenShift Security 15 - 用 RHACS 的安全策略管理运行中的容器安全
多恩斯基的博客
01-15 2840
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 + RAHACS 环境中进行验证。 创建 RHACSPolicy 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。 { "policies": [ { "id": "e0a224d9-ca08-
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全(附视频)
多恩斯基的博客
04-02 3542
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.10 环境中进行验证。 在基于 DevSecOps应用发布过程中,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。 但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。 参照《OpenShift 4
OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(附视频)
多恩斯基的博客
12-22 1162
oc new-project project1 oc label namespace project1 name=project1 oc new-project project2 oc label namespace project2 name=project2 oc new-project project3 oc label namespace project3 name=project3 oc new-app -n project1 openshiftroadshow/parksmap.
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(附视频)
多恩斯基的博客
12-16 1196
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(附视频)
多恩斯基的博客
01-15 2848
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境中统一管理多 OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。
OpenShift 4 - 利用 File Integrity Operator 实现对集群节点进行入侵检测(附视频)
多恩斯基的博客
03-05 4718
OpenShift 的 File Integrity Operator 可以在集群节点上持续地运行文件完整性检查。它部署了一个 DaemonSet,在每个节点上初始化并运行有特权的AIDE(Advanced Intrusion Detection Environment - 高级入侵检测环境)容器,提供自 DaemonSet 初始运行以后被修改的文件记录。
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值