Red Hat が StackRox を買収し、それを Red Hat Advanced Cluster Security for Kubernetes (RHACS) に変え、今日の Kubernetes ネイティブのセキュリティ リーダーに成長させてから 2 年以上が経過しました。この 2 年間で UI が強化され、多くの新機能や改善が行われました (更新されたものなど)Log4Shell ポリシー、実行時に相互署名検証を強制するそしてそのnetpol CLI ポリシーのワークフロー) ですが、私たちは Red Hat ACS の在任期間における最初のメジャーリリースに興奮しています。
4.0 リリースで期待できること!
4.0 リリースには、多くの機能の追加と更新を伴う 1 つの重要な製品変革が含まれています。それでも、アーキテクチャとストレージの変更が、セマンティック バージョニング仕様。 4.0 リリースには次のものが含まれます。
- PostgreSQL への切り替えによるデフォルトのデータベースの変更
- 更新および改善されたネットワーク グラフ (技術プレビュー)
- Red Hat Enterprise Linux CoreOS (RHCOS) ノードの完全なホストレベルのスキャン
- IBM Power、IBM zSystems、および IBM LinuxONE システムの安全なクラスターのサポート
- ランタイムイベントとレポートの強化
- 更新された検索機能
- Syslog統合機能の改善
- レポートを簡単にするための新しいコレクション機能
- 違反と脆弱性の範囲を拡大するための「ポリシー カテゴリ」ラベル
- セキュリティで保護されたクラスター内のポートをリッスンしているすべてのプロセスをレポートする API
- FIPS 準拠の検証
これらすべての最新情報を共有できることを大変うれしく思います。以下で各機能アップデートについて詳しく見ていきましょう。
PostgreSQL が 4.0 の RHACS のデフォルト データベースになる
ときStackRox 3.0 リリースが初めてリリースされました、構成および脆弱性管理の機能を備えた Kubernetes セキュリティの基礎を築きました。最新バージョン 4.0 では、PostgreSQL、メモリ内のデフォルトデータベースを置き換え、ロックスDB、以前のバージョンで使用されていました。このアプローチには、パフォーマンスの向上など多くの利点があり、また、以下で説明する多くの新機能をプラットフォームに導入するのにも役立ちます。
PostgreSQL を RHACS バックエンドとして使用する利点は次のとおりです。:
- サポートの規模とパフォーマンスの向上
- バックアップと復元に標準ツールの使用を許可する
- 永続ボリュームの使用を最小限に抑える
RHACSのお客様向け, PostgreSQL は 4.0 からデフォルトのデータベースになります。 4.0 へのアップグレードには、からのデータベースの移行が含まれます。ロックスDBPostgreSQL へのアップグレードはアップグレードの一環として行われます。アップグレードする前に、既存の文書化された手順に従ってデータベースをバックアップしてください。そうすれば、問題が発生した場合にバックアップされたデータベースを復元できます。
ACS の対象分野の専門家 (SME) が、オンプレミスの顧客が機能をテストして必要な手順を完了できるようにガイドします。Red Hat カスタマーポータル。
ネットワークグラフ 2.0 が登場しました!
3.74 リリースで述べたように、RHACS ネットワーク グラフは次のようにアップグレードされました。パターンフライ ライブラリ、改善された機能と鮮明なグラフを提供します。グラフは、環境の展開、ネットワーク フロー、およびポリシーに関する詳細情報を提供します。次の 2 つのビューがあります。
- 「アクティブなフロー (デフォルト)」ビューには、選択した名前空間または特定のデプロイメントに焦点を当てた、観察されたトラフィックを含むフローが表示されます。
- [非アクティブなフロー] ビューには、監視された時間枠内でトラフィックを処理していないにもかかわらず、ネットワーク ポリシーで許可されているフローが表示されます。このビューは、より緊密な分離を実現するためにネットワーク ポリシーに必要な変更を特定するのに役立ちます。
フィルターとコントロールを使用して、表示される情報をカスタマイズできます。グラフには、アイコンの使用法を説明する凡例が含まれています。以下は、展開とそれらの間のトラフィック フローを示す例です。赤いバッジは欠落しているポリシーを示しています。
このビジュアルアップデートと追加されたroxctl CLI netpol 生成機能(技術プレビュー) により、より効果的なネットワーク ポリシー作成ワークフローが可能になり、開発者、運用チーム、セキュリティ チームがゼロトラスト ネットワークの目標を達成できるようになります。
ネットワーク グラフの更新と netpol の機能は、短いデモで確認できます。ここ。
RHCOS ノードの完全なホストレベルのスキャン
あなたはそれを正しく読んでいます! RHACS では、RHCOS ノードをホストレベルで完全にスキャンできるようになります。
この更新が行われる前は、RHACS プラットフォームは、コア Kubernetes コンポーネントとコンテナー ランタイムの脆弱性について Red Hat OpenShift クラスター ノードのみをスキャンしていました。しかし今後、RHACS は Red Hat の顧客に、スキャン精度のために Red Hat が提供する脆弱性データを使用して、Kubernetes コンポーネントだけでなく、ホスト (ノード) オペレーティング システム全体の脆弱性スキャンを提供します。
RHACS は次のことを行います。
- RHCOS 上で実行される ACS で保護された OpenShift クラスター ノードの Kubernetes コンポーネントを含む、インストールされているすべての RPM パッケージを特定します。
- これらのパッケージと Kubernetes コンポーネントに影響を与える既知の脆弱性を特定する
- Red Hat が提供する RHCOS コンポーネントの脆弱性データを使用して、正確なスキャン結果を提供します
これは、RHACS 上の脆弱性管理ワークフロー プロセスを強化するための最初のステップです。脆弱性管理ワークフローの改善に関するさらなるアップデートやヒントについては、今後のリリースにご期待ください。
RHACS Secured Cluster Services に対する IBM Power、IBM zSystems、および IBM LinuxONE のサポート
RHACS には、さまざまな Kubernetes プラットフォームおよびアーキテクチャに対して非常に包括的なサポート ポリシーがあります。 IBM Power、IBM zSystems、および IBM LinuxONE システム上の OpenShift を含むようにサポート マトリックスを拡大しました。ご確認くださいRHACS サポート マトリックス詳細については。
インストールできますIBM Power、IBM zSystems、IBM LinuxONE 上の Red Hat OpenShift 上の RHACS セキュア クラスター サービスRHACS オペレーターを使用します。リリース 4.0 では、RHACS は roxctl を使用したマルチアーキテクチャ ビルドのスキャンをサポートし、次の RHACS セキュア クラスターのサポートを拡張します。
- Red Hat OpenShift 4.12 から IBM Power (ppc64le) へ
- Red Hat OpenShift 4.10 および 4.12 から IBM zSystems (s390x) および IBM LinuxONE (s390x)
セキュリティで保護されたクラスター内のポートをリッスンしているすべてのプロセスをレポートする API
セキュリティを重視する Kubernetes ユーザーは、セキュリティで保護されたクラスター上のポートでリッスンするすべてのプロセスのリストを必要とします。 ACS は、どの展開および名前空間でポートが開いているかに関する情報をすでに提供しています。 4.0 では、クラスターのセキュリティ状態をより効果的に評価できるように、ポートをリッスンするプロセスに関する情報を追加しました。
この機能は、将来のリリースの UI に表示される予定です。
ダッシュボードのグローバル検索を更新しました
適切な検索バーは非常に強力なツールです。 RHACS 4.0 では、検索エクスペリエンスが強化され、セキュリティ情報をより迅速に、よりターゲットを絞って見つけて使用できるようになりました。
更新されたグローバル検索機能は再設計され、専用の検索ページに表示されるようになり、必要なものをすばやく見つけるのに役立つ広範な検索条件のリストが提供されます。 10 を超える検索カテゴリと個々の検索結果が項目として表示されるため、関心のある領域に簡単にズームインして、結果をさらに詳しく調べることができます。そして一番いいところは?検索では URL が使用されるようになり、ブラウザーで移動したり、結果を新しいタブで開いたり、検索リンクをチームと共有したりできるようになりました。
たとえば、RHACS グローバル検索を使用すると、ユーザーは SYS_ADMIN 機能を備えたデプロイメントを検索し、他の専門家とリンクを共有できるため、効率的に情報を見つけてチーム間で迅速に共有できるようになります。 RHACS は最高のユーザー エクスペリエンスを提供することに尽力しており、更新されたグローバル検索機能はその取り組みの一例にすぎません。
syslog統合を改善するための追加フィールド
syslog レシーバーと統合すると、RHACS はすべての違反と監査イベントを構成された syslog レシーバーに自動的に送信します。 RHACS 3.74 では、外部システムに送信するカスタムのキーと値のペアを指定できます。新しい追加フィールドを使用すると、syslog レシーバーでフィルターできるデータをカスタマイズできます。
詳細については、を参照してください。syslog プロトコルを使用した統合。
RHACS コレクション
PostgreSQL の導入には、RHACS チームが「コレクション」と呼ぶ新しい機能の導入が伴います。コレクション機能を使用すると、ユーザーは一致するパターンを使用してデプロイメントのコレクションを定義し、繰り返し使用できるように名前を付けることができるため、RHACS プロパティのクローン作成や繰り返しの編集が不要になります。選択ルールを使用して論理グループを定義し、次のような表現力を提供します。
- ルールは、デプロイメント、名前空間、またはクラスターの名前またはラベルを使用して照合できます。
- 完全一致または正規表現を使用してルールを指定できます。
- コレクションは実行時に解決されます。ルールは、定義時に存在しないオブジェクトを参照することができます。
- 他のコレクションを使用してコレクションを構築し、複雑な階層を記述することができます。
- システム内のデプロイメントのグループを、チーム、環境ラベル、名前空間、クラスター名などによって識別します。
4.0 リリースでは、コレクションは更新された脆弱性レポート機能でのみ使用できます。時間の経過とともに、ダッシュボード、ネットワーク グラフ、および RHACS 検索またはフィルターが使用されるあらゆる場所でコレクションが利用できるようになり、関心のある領域に簡単に焦点を当てることができるようになります。
ポリシーカテゴリの更新
RHACS チームは、関連ポリシーの管理に役立つ「ポリシー カテゴリ」機能を更新しています。この機能には、カテゴリの表示、作成、名前変更、削除ができる新しい [ポリシー カテゴリ] タブが付属しています。このワークフローは、システム定義のポリシーを保護し、必要に応じてグループ化を調整するきめ細かい機能を付与しながら、ポリシーを削除できないようにします。 RHACS ポータルで使用できるポリシー カテゴリに対する同じアクションは、PolicyCategoryService サービスを使用する API からも使用できます。詳細については、RHACS ポータルで [ヘルプ] > [API リファレンス] に移動して API ドキュメントを参照してください。
FIPS 準拠
RHACS は、FIPS の OpenShift 4.12 で検証されました (連邦情報処理標準) 有効モード。これは、さまざまな顧客のコンプライアンス要件を満たすのに役立ちます。
今すぐ RHACS 4.0 をお試しください。
の4.0 リリースノートを参照することができ、いつものように、RHACS も利用できます。60日間の無料トライアル(自己管理)。
ただし、現在 RHACS を使用していない場合は、RHACS のフルマネージド SaaS バージョンである Red Hat Advanced Cluster Security Cloud Service を使用し始めることをお勧めします。アマゾンマーケットプレイスまたデモをリクエストする。