OpenShift Security (5) - 评估部署中的风险
《OpenShift 4.x HOL教程汇总》
本文在 OpenShift 4.9 和 RHACS 3.67.1 环境中进行验证。
文章目录
- 和部署风险相关的指标
- 违反安全政策情况
- 可疑的执行进程
- 镜像漏洞
- 服务配置
- 服务可及性
- 对攻击者有用的组件
- 镜像中的组件数量
- 镜像的新鲜度
- RBAC配置
- 查看部署详情
- 查看容器内部的执行进程
- 进程的安全基线
RHACS 的风险视图列出了来自所有集群的全部 Deployment,并按照基于政策违反、镜像内容、部署配置和其他相关因素的多因素风险指标进行排序,列表顶部的部署有具最高的风险。
和部署风险相关的指标
点击 Risk 页面中第一个 “visa-processor” 部署,此时右侧会默认显示 RISK INDICATOR。可以看到 RHACS 从 9 个领域评估当前 Deployment 的风险。
违反安全政策情况
展开 Policy Violations 可以看到违反 RHACS 安全策略的条目,其中有 CVE 安全漏洞,也有包含潜在风险的 Privileged Container 。
可疑的执行进程
展开 Suspicious Process Executions 可以看到在 Deployment 的容器中可疑的执行进程和参数。
镜像漏洞
展开 Image Vulnerabilities 可以看到 Deployment 使用的镜像中包含的 CVE 数量。
服务配置
展开 Service Configuration 可以看到 Deployment 配置中经常出现问题的方面,如读写(RW)能力,是否能力被放弃、是否有特权容器。
服务可及性
展开 Service Configuration 可以看到 Deployment 配置暴露在集群内部或外部的容器端口。
对攻击者有用的组件
展开 Components Useful for Attackers 可以看到在 Deployment 包含的镜像中发现的可用来网络攻击的组件。
镜像中的组件数量
展开 Number of Components in Image 可以看到在 Deployment 用到的图像内包含的软件组件数量。
镜像的新鲜度
展开 Image Freshness 可以看到在 Deployment 中用到的镜像和已存在的时间,例如,571天前的镜像。
RBAC配置
展开 RBAC Configuration 可以看到在 Deployment 中用到的基于角色的访问控制(RBAC)中授予部署的权限级别。
查看部署详情
在 DEPLOYMENT DETAILS 栏目中可以方便地看到部署的详情,包括整体部署配置、容器配置和 SC 安全上下文的配置。
查看容器内部的执行进程
在 PROCESS DISCOVERY 栏目中可以看到在运行在容器中的所有进程,其中风险较高的进程被标记为红色。可以查看这些进程运行在哪个容器中,使用了哪些参数,上一次运行时间、PID、UID。另外还可以为进程提供注释说明。
点击上图的 “EVENT TIMELINE” 蓝色区域,可以查看 Pod 中的风险事件和发生时间。
进程的安全基线
可以使用进程的基线功能来最大限度地降低风险。通过这种方法,RHACS 首先发现现有的进程并创建一个基线。然后,它默认使用 deny-all 模式运行,只允许基线中列出的进程运行。
- 在进程发现阶段,RHACS 将发现的新进程加到基线中,新出现的进程不会引起违规。
- 在 RHACS 收到部署中的容器的第一个进程指示器开始的一个小时后,它就完成了进程发现阶段。
- 此后 RHACS 不再向基线中添加新的进程。此时再出现新的进程还不会引发违规。为了能引发违规,需要手动锁定进程基线。
可以在 Spec Container Baselines 区域可以查看到每个容器的进程基线,可以“锁定”或“解锁” 这些进程。
OpenShift Security (5) - 评估部署中的风险相关推荐
- OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作
<OpenShift 4.x HOL教程汇总> 本文在 OpenShift4.9 + RHACS 环境中进行验证. 演示视频 在 OpenShift 控制台中部署测试镜像 registry ...
- OpenShift Security (10) - 用红帽高级集安全产品监控容器中运行的安全违规操作
<OpenShift 4.x HOL教程汇总> 本文已在 OpenShift 4.9 + RHACS 中测试验证. 演示视频 文章目录 场景说明 查看 Runtime 策略 部署测试应用 ...
- OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署
<OpenShift 4.x HOL教程汇总> 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证,需要先完成<OpenShift Security (2) - ...
- The Open Group正式发布《在TOGAF®企业架构中集成风险和安全》
2020年8月12日,The Open Group正式发布<在TOGAF®企业架构中集成风险和安全>指南,该指南介绍了其如何支持TOGAF标准,以及与其他IT安全和风险标准,如ISO / ...
- OpenShift Security (2) - 安装 Red Hat Advanced Cluster Security(RHACS)
<OpenShift 4.x HOL教程汇总> 本文在 OpenShift4.9 环境中进行验证. 文章目录 环境要求 安装 RHACS Operator 创建 RHACS 环境 创建 C ...
- 容器安全 - 通过SECCOMP过滤在容器中的风险操作
<OpenShift 4.x HOL教程汇总> 文章目录 通过SECCOMP过滤在容器中的风险操作 参考 通过SECCOMP过滤在容器中的风险操作 查看podman当前有关SECCOMP的 ...
- 如何评估数据库的安全风险?
如何评估数据库的安全风险?数据如今已经成为企业最重要的资产之一.企业通常将数据存储在数据库中,因此了解如何保护这些数据至关重要.本文将介绍从1到10的等级范围内量化数据库的安全级别.首席信息安全官和数 ...
- OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索
<OpenShift 4.x HOL教程汇总> 本文在 OpenShift 4.8 + RHACS 环境中进行验证. 演示视频 文章目录 部署测试应用 镜像漏洞分析 应用镜像安全加固 部署 ...
- 手把手实操系列|贷中逾期风险预测模型开发流程(上)
序言: 随着新客的获客成本越来越高,贷中客户的管理越来越受到放贷机构的重视,其中包括用户流失预测,营销响应预测,逾期风险预测,额度利率管理等. B卡,又称为行为评为卡,它的作用对象是老客,根据其在账户 ...
最新文章
- “Razor” – a new view engine for ASP.NET
- 【Flutter】Flutter 手势交互 ( 点击事件处理 | 点击 onTap | 双击 | 长按 onLongPress | 点击取消 | 按下 onTapDown | 抬起 onTapUp )
- 终于弄明白 i = i++和 i = ++i 的区别了!
- 【数据结构与算法】之深入解析“删除链表的倒数第N个结点”的求解思路与算法示例
- 在架设网站服务器时,实习实习报告网站服务器架设.doc
- python课程_大整理!程序员最爱的13个免费Python课程
- 人造肉公司大受追捧!美国公司Beyond Meat在IPO首日暴涨163%
- Perl 标量的操作符
- 转载--ASP解决AJAX带来的码问题
- php下载css图片,PHP实现下载CSS文件中的图片
- exec sql_EXEC SQL概述和示例
- SQL Server 数据库做读写分离
- mysql建表指定表空间_Oracle中建表和指定表空间
- windows 中获取字体文件名
- echarts最简单的南丁格尔玫瑰图+图例
- openwrt路由器(红米AC2100)折腾全程——多拨、ipv6负载均衡、ipv6 nat6、ddns、端口转发
- 计算机科学与技术军训,计算机科学与技术学院召开2018级新生军训动员大会
- 关于 网页 链接 分享朋友圈 更换title 文字方法
- 知云文献翻译 for mac
- ResNet详解与分析