檢視次數:

定義 Container Security 管理規則集,以確保在執行時安全掃瞄期間保護您的容器。

執行期安全性提供對違反可自訂規則集的容器活動的可見性。目前,執行期安全性包括一組預定義規則,這些規則提供對容器的MITRE ATT&CK框架戰術以及容器漂移檢測的可見性。容器安全性可以自動緩解由執行期安全性功能檢測到的問題。如果一個pod在執行期間違反任何規則,則根據分配給其容器安全性策略的規則集,通過終止或隔離該pod來緩解問題。
重要
重要
規則集與 Kubernetes 和 Amazon ECS 相容,並支援 Amazon EKS、Microsoft Azure AKS、Google GKE 和 OpenShift 運行支援的 Linux 核心

步驟

  1. 移至「Cloud Security」「Container Security」「組態」「Object Management」
  2. 移至「Object management」「Container Security」「組態」
  3. 「Runtime Security Rulesets」下點擊「Managed rulesets」標籤。
  4. 透過點擊「+Add」來建立規則集。
  5. 請指定一個唯一的規則集名稱。
    注意
    注意
    • 規則集名稱不得包含空格,且僅支援字母數字字符、底線 (_) 和句點 (.)。
    • 您無法在建立規則集後修改規則集名稱。
  6. 如果您想提供有關規則集目的的更多詳細信息,請使用Description欄位。
    描述顯示在規則集列表中的規則集名稱下方。
  7. 對於已將標籤應用於您的 Kubernetes 叢集並且只想將規則集應用於具有相應標籤的叢集的使用者,點選Add Label
    1. 為每個標籤指定KeyValue
    2. 如果您有多個標籤要應用規則集,請再次點選Add Label
    重要
    重要
    標籤僅支援 Kubernetes 叢集,對 Amazon ECS 叢集無效。
  8. 透過選擇每個規則旁的「已啟動」啟用切換來將規則套用至規則集。
    秘訣
    秘訣
    要獲取有關規則旨在防止的攻擊技術的詳細資訊,請在MITRE 網站上搜索 MITRE ID(例如 T1021.004)。
  9. 透過啟用切換來套用規則至規則集。
  10. In the Action column, select what action you want Container Security to perform when the rule is violated.
    • Log:記錄事件但允許容器繼續運行
    • 隔離:將 Pod 與所有網路流量隔離 (僅限 Kubernetes)
    • 終止:終止 Pod (Kubernetes 和 CAM 版本高於 v2.2.3 的 ECS)
    重要
    重要
    從 CAM for ECS 保護 v2.2.3 開始,「終止」 在 ECS 的執行時安全期間受到支持;「隔離」 預設為日誌模式。
    對於版本早於 v2.2.3 的 CAM for ECS 保護,Amazon ECS 叢集僅支援「記錄檔」操作。如果您選擇「隔離」「終止」並將規則集應用於 Amazon ECS 叢集,Container Security 將默認僅執行「記錄檔」操作。
  11. 點擊「Create ruleset」