Un contenedor puede parecerse a un «sandbox», pero las bibliotecas y las aplicaciones aún se ejecutan en él y, como todo lo demás, estos componentes deben monitorearse en busca de vulnerabilidades. El módulo Red Hat Advanced Cluster Security (RHACS) supervisa los datos de tiempo de ejecución en los contenedores en busca de vulnerabilidades conocidas y valida los clústeres de Kubernetes para aplicar políticas. RHACS puede recopilar información sobre plataformas de contenedores, así como imágenes, aplicaciones y activos de configuración que controlan el comportamiento de las aplicaciones después de la implementación.
Implemento RHACS en OpenShift mientras realizo pruebas de producción. Encontró algunas vulnerabilidades importantes antes de que se implementaran, y lo más importante era evitar que entraran en producción.
Instalar RHACS
El primer paso es instalar el operador Advanced Cluster Security (ACS). Primero, inicie sesión en su consola web OpenShift Container Platform (OCP), busque ACS en OperatorHub e instálelo.Por defecto, ACS está instalado en rhacs-operator Espacios de nombres.
ACS utiliza dos recursos personalizados que debe instalar después de instalar el operador ACS:
- central Instale los servicios Central, Scanner y Scanner DB. El servicio Central proporciona acceso a la interfaz de usuario a través de la interfaz de usuario web o el portal RHACS. También maneja interacciones API y proporciona almacenamiento persistente. El escáner analiza las imágenes en busca de vulnerabilidades conocidas. Utiliza Scanner DB como caché para las definiciones de vulnerabilidad.
- clúster seguro Instale los servicios de colector, sensor y controlador de admisión. Los recopiladores recopilan información en tiempo de ejecución sobre la seguridad del contenedor y la actividad de la red. Luego envía los datos al sensor, que supervisa su clúster de Kubernetes para detectar y aplicar políticas. El controlador de admisión supervisa las cargas de trabajo y evita que los usuarios las creen en RHACS cuando se infringe la política de seguridad.
[ Shorten your OpenShift learning curve by downloading and reading OpenShift for Developers. ]
centro de instalación
Primero, elige rhacs-operator espacio de nombres y haga clic en Crear proyectoCree un nuevo espacio de nombres, p. apilar rocas.
en el interior apilar rocas proyecto, haga clic central bajo API proporcionada.
Introduzca el nombre del recurso personalizado de Central y haga clic en crear.
Después de instalar Central, puede iniciar sesión en el portal RHACS o en la interfaz de usuario (UI) web.
navegación redes > ruta Obtenga la URL del nuevo portal.
Obtenga la contraseña de Central (o Portal RHACS) haciendo clic en carga de trabajo > secreto > htpasswd centralCopia la contraseña.
Ahora inicie sesión en el portal RHACS con su ID administrativo Usa la contraseña que copiaste.
Generar un paquete de inicialización
Antes de crear un clúster seguro, debe generar un paquete de inicializaciónEl clúster seguro usa este paquete para autenticarse en Central. Puede hacerlo desde el portal RHACS o a través de Central.
En el portal RHACS, navegue hasta Configuración de la plataforma > integrado. bajo token de autenticación sección, haga clic en Paquete de inicialización de clúster.
hacer clic Generar paqueteluego haga clic Descargar archivos secretos de Kubernetes Descargue el paquete generado y guarde el archivo YAML.
En la interfaz de usuario de OpenShift, haga clic en + (signo más) en la esquina superior derecha apilar rocas proyecto e importe el archivo YAML que descargó.
Esto crea los recursos necesarios para que Scanner se autentique con Central en el portal RHACS.
Instalar un clúster seguro
casi hecho! Todo lo que queda es instalar Secured Cluster.bajo API proporcionada sección, seleccione Crear instancia existe clúster seguro API.
Después de que se inicie el escáner, vaya al portal RHACS y haga clic en Tablero. El panel ahora muestra datos de clústeres, nodos e infracciones. También muestra el número de infracciones críticas, altas y medias por grupo. Puede hacer clic en cada número para ver los detalles.
[ Learn how to bring security into your DevOps practice. Download A guide to implementing DevSecOps. ]
RHACS para Kubernetes escanea automáticamente todas las implementaciones en el clúster en busca de riesgos de seguridad y violaciones de políticas. Para cualquier implementación nueva, la exploración comenzará tan pronto como la implementación se confirme en el clúster.
Puede ver todas las imágenes de vulnerabilidad escaneadas y sus detalles en Gestión de vulnerabilidades > Tablero > Ver todo (imágenes con mayor riesgo).
Mantente informado
El monitoreo de sus sistemas es una parte importante del mantenimiento, así que manténgase informado sobre lo que implementará y detecte cualquier problema antes de que se active.
