Red Hat Advanced Cluster Security 4.9: Mehr Sicherheit für Ihre Workflows

Im Einklang mit der schnellen Entwicklung der Kubernetes-Sicherheit haben wir uns darauf konzentriert, Red Hat Advanced Cluster Security for Kubernetes weiter voranzubringen. Mit Version 4.9 führen wir wichtige Integrationen und Updates ein, mit denen Sie Ihre Workflows optimieren können. Zu diesem Zweck haben wir die Integrationsmöglichkeiten mit anderen Tools und Services verbessert und die Transparenz der Abläufe optimiert. Außerdem haben wir damit begonnen, virtuelle Maschinen (VMs) in unsere Berichte und Scans zu integrieren. 

Integration von Red Hat Advanced Cluster Security mit ServiceNow

Ein wichtiges Feature von Red Hat Advanced Cluster Security 4.9 ist die Integration mit ServiceNow. Mit der Anwendung ServiceNow Container Vulnerability Response können Nutzende jetzt detaillierte Daten zu Schwachstellen bei Container Images in ihr ServiceNow-Dashboard importieren. 

Dadurch werden die umfangreichen Daten von Red Hat Advanced Cluster Security mit dem flexiblen, ticketbasierten Workflow abgeglichen, mit dem Unternehmen ihre Sicherheitsprobleme lösen.

Über ServiceNow Marketplace können Sie die Integration zu Ihrer ServiceNow-Instanz hinzufügen.

Ansichtsbasiertes Schwachstellen-Reporting

Red Hat Advanced Cluster Security 4.9 ermöglicht den direkten CSV-Export gefilterter Schwachstellendaten und vereinfacht so das Generieren und Teilen von Schwachstellenberichten. Diese Funktion bietet Sicherheitsteams mehr Flexibilität beim Suchen und Finden wichtiger Schwachstellen und beim Teilen umsetzbarer Erkenntnisse.

Mit diesen anpassbaren Exporten werden Workflows optimiert, da sich Schwachstellen und Container-Informationen damit schnell erkennen lassen und Sicherheitsteams so schnell und effizient reagieren können.

Schwachstellen-Reporting für VMs [Entwicklungsvorschau]

Ein spannender erster Schritt beim Optimieren der VM-Sicherheit mit Red Hat Advanced Cluster Security ist das Schwachstellen-Scanning für VMs, die mit Red Hat OpenShift Virtualization gemanagt werden. Die Lösung erfordert schlanke Agenten, die auf Ihrem Red Hat Enterprise Linux (RHEL) Host installiert sind, um versteckte Risiken im Guest-Betriebssystem Ihrer VM aufzudecken.

Die Lösung ist vorerst auf 50 VMs begrenzt und lässt sich nahtlos in das vorhandene Dashboard zum Schwachstellenmanagement integrieren.

M2M-OIDC-Authentifizierung (Machine-to-Machine)

Das aktuelle Release führt die deklarative, automatisierungsfreundliche M2M-OIDC-Authentifizierung (OpenID Connect) ein, um den sicheren Zugriff auf Produkt-APIs zu optimieren. Fügen Sie Details zu Ihrem OIDC-Aussteller einfach als ConfigMaps oder Secrets hinzu, die im Central Pod gemountet sind, und lassen Sie Ihre Teams automatisierte, sicherheitsorientierte API-Interaktionen mit kurzlebigen OIDC-Token von Identitätsanbietern ausführen. Dies vereinfacht Authentifizierungsworkflows und ermöglicht so den Zugriff auf Rechner ohne langlebige Zugangsdaten sowie eine vereinfachte Drittanbieter-Authentifizierung.

Export von Metriken mit Prometheus

Red Hat Advanced Cluster Security 4.9 umfasst einen dedizierten /metrics-API-Endpunkt in Central Services, der benutzerdefinierte Produktmetriken bereitstellt und so für bessere Transparenz sorgt. Diese benutzerdefinierten Produktmetriken werden in der Zeitreihendatenbank Prometheus gespeichert. Prometheus-Daten können verwendet werden, um Sicherheitsmetriken mit Tools wie Grafana oder Perses zu visualisieren und so maßgeschneiderte Dashboards zu erstellen. Mit Alertmanager können Alarme an verschiedene Empfänger wie E-Mail, Slack oder PagerDuty gesendet werden. 

Sie erhalten umsetzbare Einblicke in wichtige Sicherheitsbereiche, wie Richtlinienverstöße oder Schwachstellen bei Images und Knoten, und können den Systemzustand durch feste Metriken wie den Cluster-Zustand und den Ablauf von TLS-Zertifikaten überwachen. Version 4.9 verkörpert den SecOps-Ansatz und stellt nützliche Sicherheits- und Betriebsdaten bereit, mit denen sich mögliche Risiken und der Systemstatus proaktiv verfolgen lassen. 

Weitere Details zur Einrichtung finden Sie in den Versionshinweisen zu Red Hat Advanced Cluster Security 4.9.

Automatisches Sperren von Prozess-Baselines

Das Baselining von Prozessen ist bei vielen Versionen von Red Hat Advanced Cluster Security enthalten. In Version 4.9 wird diese Funktionalität um die Automatisierung des Prozesses für das Sperren von Baselines erweitert. Da diese zeitaufwendige Aufgabe bisher für jedes einzelne Deployment manuell durchgeführt werden musste, spart dieses Update Sicherheitsteams wertvolle Zeit, die sie für wichtigere Aufgaben nutzen können.

Außerdem ermöglicht diese Änderung einen proaktiveren Sicherheitsansatz. Sie müssen nicht mehr warten, bis ein Deployment vorhanden ist, um eine Warnung einzurichten. Stattdessen können Sie jetzt eine Richtlinie für einen bestimmten Bereich definieren, etwa einen Namespace. Neue Deployments in diesem Bereich lösen dadurch automatisch Warnmeldungen aus und sorgen so von Beginn an für konsistente Sicherheit.

Änderungen und Verbesserungen des Richtlinieneditors

Basierend auf Ihrem Feedback haben wir den Richtlinieneditor optimiert. Red Hat Advanced Cluster Security 4.9 konzentriert sich bei der Richtlinienerstellung auf einen einzigen Richtlinien-Lifecycle und vermeidet so die Unübersichtlichkeit früherer Konfigurationen, die mehrere Optionen zur Auswahl gaben. Die Kriterienfelder sind in Abschnitten mit neuen Unterabschnitten organisiert. Dadurch können Sie sich schneller und intuitiver für die Optionen entscheiden, die zu Ihrem Lifecycle passen.

Kriterienfelder sind übersichtlich in Abschnitten gruppiert und zeigen dynamisch nur die für Ihren Lifecycle relevanten Optionen an. Außerdem enthält die Dokumentation jetzt zusätzlich zu den traditionellen „How-to“-Anleitungen einen umfassenden Guide. Mit diesem Update können Teams Sicherheitsrichtlinien noch einfacher in den Entwicklungs-, Deployment- und Runtime-Phasen anwenden. 

Die Versionshinweise zu Red Hat Advanced Cluster Security 4.9 finden Sie hier.

Aktualisierungen beim Erzwingen des Admission Controllers und Lifecycle-Updates

Die Einstellungen des Admission Controllers sind jetzt benutzerfreundlicher. In Red Hat Advanced Cluster Security 4.9 wurden Einstellungsmöglichkeiten auf niedrigerer Ebene deaktiviert. Die Durchsetzung des Admission Controllers lässt sich jetzt mit einer einzigen EIN/AUS-Option deaktivieren. Die Einstellungen werden pro gesichertem Cluster durch die Installationsmethode (Operator oder Helm Chart) gesteuert und können auf der Cluster-Konfigurationsseite der Benutzeroberfläche angezeigt werden.

Außerdem haben wir die Ausfallrichtlinie des Admission Controllers konfigurierbar gemacht. Wenn Kubernetes eine API-Anfrage verarbeitet, muss der Admission Controller innerhalb kurzer Zeit antworten. Wird diese Zeit überschritten, hat Kubernetes 2 Möglichkeiten:

• Fail Open: Kubernetes kann offen versagen, wobei die Anfrage angenommen und der Admission Controller ignoriert wird. Diese Option priorisiert die Verfügbarkeit.
• Fail Close: Kubernetes kann geschlossen versagen und die Anfrage blockieren. Diese Option priorisiert ein konsistentes Erzwingen der Sicherheit.

Bisher unterstützte Red Hat Advanced Cluster Security den Fail Close-Modus nur bei der Helm-Installationsmethode. Jetzt ist diese Option auch für die Operator-Installationsmethode verfügbar und wird in der Benutzeroberfläche aktualisiert.

Zur Testversion

Weitere Informationen zum Red Hat Advanced Cluster Security 4.9 Release finden Sie in den Versionshinweisen.