Ankündigung von Red Hat Advanced Cluster Security for Kubernetes 4.10

Sicherheit ist ein wichtiger Aspekt bei jedem digitalen Vorhaben, und das ist bei Kubernetes nicht anders. Wir haben Red Hat Advanced Cluster Security for Kubernetes entwickelt, um eine grundlegende Sicherheitsschicht für Flotten, Infrastrukturen und Plattformen zu bilden – unabhängig davon, ob es sich um Public, Private oder Hybrid Clouds handelt. Heute veröffentlichen wir Red Hat Advanced Cluster Security for Kubernetes Version 4.10. Damit erleichtern wir den Nutzenden von Red Hat OpenShift das Erstellen und Durchsetzen von Sicherheitsrichtlinien für ihre Cluster.

Zu den wichtigsten Updates gehören die neue Integration des Schwachstellenmanagements in OpenShift Console sowie die Aufgabentrennung zwischen Basis-Images und Schichten. Dies erleichtert Administrations- und Operations-Teams den Umgang mit sicherheitsrelevanten Informationen und Behebungsmaßnahmen, ohne dass sie zwischen Dashboards und Kontexten wechseln müssen.

Und wie immer legen wir mit diesem Release eine zusätzliche Grundlage für den zukünftigen Support: Wir veröffentlichen eine Technology Preview des Schwachstellenmanagements für virtuelle Maschinen (VMs), die auf Red Hat OpenShift Virtualization ausgeführt werden. Außerdem haben wir die Handhabung von Basis-Images geändert. Mehr dazu weiter unten.

Neu in Red Hat Advanced Cluster Security for Kubernetes

Wenn Sie sofort loslegen möchten, registrieren Sie sich für eine kostenlose Testversion von Red Hat Advanced Cluster Security for Kubernetes. Wenn Sie mehr Details wünschen, finden Sie hier einige der neuen Funktionen im aktuellen Release:

• Innovationen beim Schwachstellenmanagement
  • Basis-Images: Funktionstrennung
  • Plugin für OpenShift Console (Technology Preview)
  • Schwachstellenmanagement für virtuelle Maschinen (Technology Preview)
• StackRox MCP-Server (Upstream)
• Überwachung von Dateiaktivitäten (Technology Preview)
• Secrets für die Cluster-Registrierung
• Richtlinienkriterien für das CVE-Korrekturdatum 

Basis-Images: Funktionstrennung

Unternehmen verwenden in der Regel ein standardisiertes Basis-Image (auch bekannt als Golden Image), um eine sichere Grundlage zu gewährleisten. Diese umfassen häufig Versionen von Drittanbietern wie Red Hat Enterprise Linux (RHEL) sowie benutzerdefinierte Images, die DevOps-Teams zur Einhaltung bestimmter Sicherheitsstandards erstellen.

Mit Red Hat Advanced Cluster Security for Kubernetes 4.10 können Nutzende diese standardisierten Images festlegen. Red Hat Advanced Cluster Security for Kubernetes identifiziert das Basis-Image innerhalb eines Anwendungs-Images und unterscheidet dessen Schichten von jenen, die die Anwendungsverantwortlichen hinzugefügt haben. Ein neues Attribut in Schwachstellenberichten, der sogenannte „Layer-Typ“, gibt an, wo genau eine Komponente zu finden ist. Beachten Sie, dass dieselbe schwachstellenbehaftete Komponente gleichzeitig im Basis-Image und in den Anwendungsschichten vorhanden sein kann.

Dadurch profitieren Sie von einer klaren Verantwortlichkeit und einer schnelleren Fehlerbehebung. Dies ermöglicht bessere Metriken für die Hygiene von Basis-Images und Anwendungsabhängigkeiten sowie für die Patch-Reaktionszeit pro Team.

Plugin für OpenShift Console (Technology Preview)

In Red Hat Advanced Cluster Security for Kubernetes 4.10 können Sie ein neues dynamisches Plugin für die OpenShift-Konsole auf gesicherten Clustern aktivieren. Dieses Plugin fügt eine Registerkarte „Security“ hinzu, die Echtzeitinformationen zu Schwachstellen direkt auf der Benutzeroberfläche der OpenShift-Konsole anzeigt, sodass Sie nicht mehr die Anwendung wechseln müssen. Zu den wesentlichen Vorteilen gehören:

• Zero Context Switching: Sicherheitsdaten sind direkt im primären Workspace verfügbar, sodass Sie nicht mehr zwischen der OpenShift-Konsole und dem Portal von Red Hat Advanced Cluster Security for Kubernetes wechseln müssen.
• Schnellere Fehlerbehebung: Teams können Sicherheitslücken früher im Lebenszyklus erkennen und beheben, indem sie Schwachstellen direkt zusammen mit den Deployment-Konfigurationen einsehen.
• Sofortige Transparenz: Sie haben sofortigen Zugriff auf Echtzeit-Schwachstellendaten, die für das spezifische Cluster relevant sind.

Diese Funktion ist ein Technology Preview-Feature. 

Schwachstellenmanagement für virtuelle Maschinen (Technology Preview)

Wenn Unternehmen Legacy-Workloads mit Red Hat OpenShift Virtualization modernisieren, ist es wichtig, eine einheitliche Sicherheitslage für Container und VMs zu gewährleisten. Red Hat Advanced Cluster Security for Kubernetes 4.10 bietet Unterstützung für den Schutz dieser Umgebungen, indem es Einblick in VM-Schwachstellen gewährt. Zu den wesentlichen Vorteilen gehören:

• Einheitliches Schwachstellenmanagement: Identifizieren und verwalten Sie Schwachstellen für VMs direkt in der Konsole von Red Hat Advanced Cluster Security for Kubernetes zusammen mit containerisierten Workloads.
• Optimierte Transparenz: Behalten Sie alle OpenShift-Assets, einschließlich derer, die als VMs ausgeführt werden, über eine einzige Oberfläche im Blick, um die Verwaltungskomplexität zu reduzieren.

Diese Funktion ist ein Technology Preview-Feature. Weitere Details finden Sie in der Dokumentation: Scannen virtueller Maschinen.

StackRox MCP-Server (Upstream)

Der StackRox MCP-Server ermöglicht es Ihnen, CVE-Sicherheitslücken mithilfe von Abfragen in natürlicher Sprache in Sekundenschnelle zu identifizieren. Vorkenntnisse über Red Hat Advanced Cluster Security for Kubernetes sind nicht erforderlich. Dies ist besonders wertvoll für die Behebung von Zero-Day-Exploits. Nutzende können Risiken sofort einschätzen, ohne in der Benutzeroberfläche von Red Hat Advanced Cluster Security for Kubernetes navigieren oder mehrere API-Aufrufe tätigen zu müssen. Der MCP-Server lässt sich mit bevorzugten Clients verbinden, darunter OpenShift Lightspeed. Dabei ist der Zugriffsbereich an das spezifische API-Token gebunden, das während der Einrichtung zum Einsatz kommt.

Derzeit ist die MCP-Software nur im Upstream verfügbar.

• Testen Sie den StackRox MCP-Server
• Integrieren Sie ihn in Red Hat Lightspeed

Überwachung von Dateiaktivitäten (Technology Preview)

Red Hat Advanced Cluster Security for Kubernetes 4.10 führt eine neue Funktion zur Überwachung von Dateiaktivitäten ein, die nicht autorisierte oder verdächtige Interaktionen mit vertraulichen Dateien auf dem zugrunde liegenden Host erkennt. Diese Funktion hilft Unternehmen dabei, gesetzliche und Compliance-Anforderungen (wie PCI DSS, HIPAA und NIST) zu erfüllen, die eine Überwachung und Prüfung der Dateisystemintegrität vorschreiben. Dieses Feature ermöglicht:

• Host- und Container-Unterscheidung: Red Hat Advanced Cluster Security for Kubernetes unterscheidet zwischen host-initiierten und container-initiierten Änderungen und ordnet Aktivitäten automatisch bestimmten Kubernetes-Deployments und Namespaces zu.
• Forensische Transparenz: Die Funktion schließt Sichtbarkeitslücken, indem sie Zeitstempel, Prozessname, Ausführungspfad und UID für jede Änderung erfasst.
• Überwachung kritischer Pfade: Nutzende können 4 kritische Knotenpfade überwachen: /etc/passwd, /etc/shadow, /etc/sudoers und /etc/ssh/sshd_config.

Diese Funktion ist ein Technology Preview-Feature.

Secrets für die Cluster-Registrierung

Das Cluster Registration Secret (CRS), das in Red Hat Advanced Cluster Security for Kubernetes 4.9 als Technology Preview eingeführt wurde, wird jetzt in RHACS 4.10 vollständig unterstützt.  Darüber hinaus ist diese Methode jetzt bei der Installation über den Operator verfügbar. 

 

CRS bietet eine klare Trennung der Anmeldedaten, die für die Bootstrapping-Registrierung gesicherter Cluster-Komponenten verwendet werden, vom Workflow der internen Kommunikation zwischen diesen Komponenten. 

Diese Methode ersetzt das veraltete Init-Bundle für die Registrierung. Dies hat keine Auswirkungen auf vorhandene Cluster, die das Init-Bundle für die Registrierung verwendet haben. Wir empfehlen jedoch, CRS für neue Cluster-Registrierungen zu verwenden, da das Init-Bundle voraussichtlich in einer zukünftigen Version entfällt.

Richtlinienkriterien für das CVE-Korrekturdatum 

RHACS 4.10 fügt ein neues Richtlinienkriterium hinzu, das auf dem Datum der CVE-Behebung basiert. Damit können Unternehmen Richtlinien definieren, die basierend darauf auslösen, wann ein Anbieter einen Fix für eine Schwachstelle erstmals bereitgestellt hat.

Anhand dieses Kriteriums können Sicherheitsteams die Durchsetzung von SLAs zur Problembehebung automatisieren. So stellen sie sicher, dass kritische Schwachstellen innerhalb eines bestimmten Zeitrahmens nach Veröffentlichung eines Patches behoben werden. Dies ermöglicht eine präzisere Messung der Patch-Reaktionsfähigkeit als die alleinige Verwendung des CVE-Entdeckungsdatums.

Lesen Sie die Release Notes, um mehr über Red Hat Advanced Cluster Security for Kubernetes 4.10 zu erfahren.