随着 Kubernetes 安全防护的快速发展,我们一直致力于推进红帽 Kubernetes 高级集群安全防护。在 4.9 版本中,我们引入了旨在帮助简化工作流的关键集成和更新。为此,我们提高了与其他工具和服务的集成能力,增强了运维可见性,并开始将虚拟机 (VM) 纳入我们的报告和扫描范围。
红帽高级集群安全防护与 ServiceNow 的集成
红帽高级集群安全防护 4.9 的一个重要亮点是其与 ServiceNow 的集成,允许用户使用 ServiceNow 的容器漏洞响应应用轻松地将详细的容器镜像漏洞数据导入到其 ServiceNow 控制面板中。
这会将来自红帽高级集群安全防护的丰富数据整合到基于工单的灵活工作流中,供企业用来解决安全问题。
如需将集成添加到您的 ServiceNow 实例,请访问 ServiceNow Marketplace。
基于视图的漏洞报告
红帽高级集群安全防护 4.9 通过将筛选后的漏洞数据直接导出为 CSV 格式,简化了漏洞报告的生成和共享流程。此功能为安全团队提供了更大的灵活性,可以搜索和查找其关注的漏洞,并轻松分享可操作的见解。
这些可自定义的导出功能使团队能够快速查看漏洞和容器信息,从而简化工作流,并帮助安全团队快速高效地做出响应。
虚拟机漏洞报告 [开发预览]
在利用红帽高级集群安全防护增强虚拟机安全性的过程中,令人兴奋的第一步是对通过红帽 OpenShift 虚拟化管理的虚拟机执行漏洞扫描。该解决方案需要在红帽企业 Linux (RHEL) 主机中安装轻量级代理,以发现虚拟机客户机操作系统 (OS) 中隐藏的风险。
该平台目前最多支持 50 个虚拟机,可以顺利集成到现有的漏洞管理控制面板中。
机器对机器 (M2M) OIDC 身份验证
最新版本引入了声明式、自动化友好型 M2M OpenID Connect (OIDC) 身份验证,以简化对产品 API 的安全访问。只需将您的 OIDC 颁发者详细信息作为 ConfigMap 或 Secret 挂载到 Central pod 中,并允许您的团队使用来自身份提供商的短期 OIDC 令牌进行以安全为中心的自动化 API 交互。这简化了身份验证工作流,无需长期凭据即可访问机器,并支持简化的第三方身份验证。
使用 Prometheus 导出指标
红帽高级集群安全防护 4.9 在 Central Services 中附带了一个专用的 /metrics API 端点,用于公开自定义产品指标,从而增强可见性。这些自定义产品指标将存储在 Prometheus 时间序列数据库中。Prometheus 数据可用于通过 Grafana 或 Perses 等工具可视化安全指标,以制作定制仪表板;通过 Alertmanager,可以将警报发送到电子邮件、Slack 或 PagerDuty 等各种接收器。
获得有关关键安全领域(策略违规、镜像漏洞和节点漏洞)的切实可行的见解,同时通过集群运行状况和 TLS 证书到期等固定指标监控系统运行状况。版本 4.9 体现了 SecOps 方法,提供可用于主动跟踪风险和系统状态的安全和运维数据。
如需查看红帽高级集群安全防护 4.9 发行说明中的设置详情,请点击此处。
自动锁定流程基线
流程基线已包含在红帽高级集群安全防护的多个版本中。在 4.9 版本中,此功能已升级,可以自动执行锁定基线流程。以前,每次部署都是一项耗时的手动任务,此次更新使安全团队能够腾出时间专注于更关键的工作。
此外,这一变化支持采用更主动的安全方法。现在,您可以为特定范围(如命名空间)定义策略,而不是等待部署存在后再设置警报。该范围内的任何新部署都将自动发出警报,从而从第一天起就实现一致的安全性。
策略编辑器更改和增强
根据您的反馈,我们对策略编辑器进行了优化。红帽高级集群安全防护 4.9 专注于围绕单个策略生命周期选项创建策略,摆脱了之前多选项设置造成的混乱。标准字段被整理成多个部分,其中包含新的子部分,以便根据您的生命周期更快、更直观地进行选择。
标准字段智能地分组为多个部分,同时根据您的生命周期动态显示相关选项。此外,除了传统的“操作方法”说明外,文档现在还包含一份综合指南。通过此更新,团队可以更轻松地在构建、部署和运行时阶段应用安全策略。
请点击此处查看红帽高级集群安全防护 4.9 发行说明。
准入控制器实施和生命周期更新
首先,准入控制器设置现在更加人性化。红帽高级集群安全防护 4.9 消除了较低级别的控制,为禁用准入控制器实施提供了一个简单的“开启/关闭”选项。这些设置由每个安全集群的安装方法(Operator 或 Helm chart)控制,并且可以在用户界面 (UI) 的“集群配置”页面中查看。
其次,我们将准入控制器的“失败策略”设置为可配置。当 Kubernetes 处理 API 请求时,准入控制器有很短的时间做出响应。如果超时,Kubernetes 可以选择:
- Fail Open:允许请求通过并忽略准入控制器(优先考虑可用性)。
- Fail Close:阻止请求(优先考虑一致的安全实施)。
以前,红帽高级集群安全防护仅在使用 Helm 安装方法时支持 Fail Close 模式。现在,此选项在使用 Operator 安装方法时也可用,并且已在 UI 中更新。
立即试用
要了解有关红帽高级集群安全防护 4.9 版本的更多信息,请查看发行说明。
关于作者
Michael Foster is a CNCF Ambassador, the Community Lead for the open source StackRox project, and Principal Product Marketing Manager for Red Hat based in Toronto. In addition to his open source project responsibilities, he utilizes his applied Kubernetes and container experience with Red Hat Advanced Cluster Security to help organizations secure their Kubernetes environments. With StackRox, Michael hopes organizations can leverage the open source project in their Kubernetes environments and join the open source community through stackrox.io. Outside of work, Michael enjoys staying active, skiing, and tinkering with his various mechanical projects at home. He holds a B.S. in Chemical Engineering from Northeastern University and CKAD, CKA, and CKS certifications.
