查看和管理安全策略
Alauda Security Service 提供默认和可自定义的安全策略,帮助您在容器环境中防止高风险部署并响应运行时事件。
策略管理页面
主要的策略入口是 Platform Configuration > Policy Management。在当前 UI 中,该页面包含:
- 创建策略
- 导入策略
- 批量操作
- 重新评估全部
策略表包含以下字段:
- 策略
- 状态
- 来源
- 通知器
- 严重性
- 生命周期
使用此页面浏览系统策略和用户定义的策略、筛选列表、导入 JSON 策略定义,以及触发对现有部署的重新评估。
策略类别
策略按类别组织,以简化筛选和管理。当前环境中的常见类别包括:
- 异常活动
- 加密货币挖矿
- DevOps 最佳实践
- Docker CIS
- Kubernetes
- Kubernetes 事件
- 网络工具
- 包管理
- 权限
- 安全最佳实践
- 供应链安全
- 系统修改
- 漏洞管理
- 零信任
策略生命周期阶段
在创建或编辑策略时,您可以指定一个或多个生命周期阶段:
- Build:检查镜像字段,例如 CVEs 和 Dockerfile 指令
- Deploy:包括构建时检查以及集群和工作负载配置检查
- Runtime:增加进程执行、运行时事件和运行时行为检查
常见策略管理任务
创建策略
使用 创建策略 打开策略定义流程。在当前 UI 中,该流程包含:
- 详情
- 生命周期
- 规则
- 策略行为
- 范围
- 操作
- 审阅
导入策略
使用 导入策略 将 JSON 策略定义上传到当前 Central 实例。
重新评估现有部署
在策略更新后,如果您希望平台针对当前策略集重新评估现有部署,请使用 重新评估全部。
策略强制执行
Alauda Security Service 根据策略阶段支持多种强制执行类型:
- 构建时强制执行:如果镜像违反策略,则使 CI 检查失败
- 部署时强制执行:使用准入强制执行来阻止或编辑不符合要求的工作负载
- 运行时强制执行:在匹配的运行时活动发生时进行响应
部署时强制执行可以是:
- 硬强制执行:Admission controller 阻止创建或更新违规部署
- 软强制执行:Sensor 将违规部署缩放为零副本
注意: 默认情况下,
stackrox、kube-system、cpaas-system和istio-system等管理命名空间会被排除在强制阻止之外。来自系统命名空间中 service account 的请求也会被绕过。
要将策略更改应用到现有部署,请使用 Policy Management > Reassess all。
导出和导入策略
您可以通过导出和导入 JSON 文件在不同的 Central 实例之间共享策略。
导出策略
- 转到 Platform Configuration > Policy Management
- 选择要导出的策略
- 打开可用操作并将策略导出为 JSON
导入策略
- 转到 Platform Configuration > Policy Management
- 单击 导入策略
- 上传 JSON 文件并单击 Begin Import
导入处理方式取决于传入策略名称和 UID 是否与当前 Central 实例中的现有策略匹配。