È arrivato Red Hat Advanced Cluster Security for Kubernetes 4.10

La sicurezza è un aspetto importante di qualsiasi impresa digitale e Kubernetes non è da meno. Abbiamo sviluppato Red Hat Advanced Cluster Security for Kubernetes per offrire un livello di sicurezza fondamentale in flotte, ambienti e piattaforme, per cloud pubblici, privati o ibridi. Oggi rilasciamo Red Hat Advanced Cluster Security for Kubernetes 4.10 nell'ambito del nostro impegno costante per semplificare il lavoro degli utenti di Red Hat OpenShift nella creazione e nell'applicazione delle policy di sicurezza per i loro cluster.

Il principale aggiornamento riguarda la nuova integrazione della gestione delle vulnerabilità in OpenShift Console e la separazione delle funzioni tra immagini di base e livelli. In questo modo, amministratori e operatori possono gestire più facilmente le informazioni sulla sicurezza e le attività di risoluzione senza dover passare da una dashboard all'altra e cambiare contesto.

E come sempre, stiamo gettando altre basi per il supporto futuro con questa versione: stiamo rilasciando un'anteprima tecnica della gestione delle vulnerabilità per le macchine virtuali (VM) in esecuzione su Red Hat OpenShift Virtualization, e abbiamo modificato la gestione delle immagini di base. Continua a leggere per saperne di più.

Novità di Red Hat Advanced Cluster Security for Kubernetes

Se non vedi l'ora di iniziare, registrati per provare gratuitamente Red Hat Advanced Cluster Security for Kubernetes. Se desideri maggiori dettagli, ecco alcune delle nuove funzionalità dell'ultima versione.

• Innovazioni nella gestione delle vulnerabilità
  • Immagini di base: separazione delle funzioni
  • Plug-in di OpenShift Console (anteprima tecnica)
  • Gestione delle vulnerabilità per le macchine virtuali (anteprima tecnica)
• Server StackRox MCP (upstream)
• Monitoraggio delle attività dei file (anteprima tecnica)
• Segreti di registrazione del cluster
• Criteri di policy relativi alla data di correzione delle CVE 

Immagini di base: separazione delle funzioni

Le organizzazioni utilizzano in genere un'immagine di base standardizzata (nota anche come golden image) per garantire basi sicure. Spesso includono versioni di provider di terze parti, come Red Hat Enterprise Linux (RHEL), oltre a immagini personalizzate che i team DevOps creano per soddisfare specifici standard di sicurezza.

Con Red Hat Advanced Cluster Security for Kubernetes 4.10, gli utenti possono definire queste immagini standardizzate. Red Hat Advanced Cluster Security for Kubernetes identifica l'immagine di base all'interno di un'immagine applicativa e ne distingue i livelli da quelli aggiunti dal proprietario dell'applicazione. Un nuovo attributo, denominato "tipo di livello", nella segnalazione delle vulnerabilità chiarisce esattamente dove si trova un componente. Tieni presente che lo stesso componente vulnerabile può essere presente contemporaneamente sia nell'immagine di base sia nei livelli dell'applicazione.

Di conseguenza, ottieni una chiara definizione delle responsabilità e tempi di risoluzione più rapidi, il che consente di migliorare le metriche relative alla pulizia delle immagini di base, all'igiene delle dipendenze delle applicazioni e alla reattività alle patch di ciascun team.

Plug-in di OpenShift Console (anteprima tecnica)

In Red Hat Advanced Cluster Security for Kubernetes 4.10, puoi abilitare un nuovo plug-in dinamico per la console OpenShift su cluster protetti. Questo plug-in aggiunge la scheda Sicurezza, che mostra le informazioni sulle vulnerabilità in tempo reale direttamente all'interno dell'interfaccia della console OpenShift, ed elimina la necessità di passare da un'applicazione all'altra. Ecco i principali vantaggi.

• Non è necessario cambiare contesto: i dati sulla sicurezza sono disponibili direttamente nell'area di lavoro principale, il che elimina la necessità di passare dalla console OpenShift al portale Red Hat Advanced Cluster Security for Kubernetes.
• Correzione più rapida: i team possono identificare e correggere le falle di sicurezza nelle prime fasi del ciclo di vita visualizzando le vulnerabilità insieme alle configurazioni di deployment.
• Visibilità immediata: i dati sulle vulnerabilità in tempo reale relativi allo specifico cluster sono immediatamente accessibili.

Questa funzionalità è disponibile in anteprima tecnica. 

Gestione delle vulnerabilità per le macchine virtuali (anteprima tecnica)

Le organizzazioni modernizzano i carichi di lavoro utilizzando Red Hat OpenShift Virtualization, e mantenere una postura di sicurezza unificata tra container e VM è fondamentale. Red Hat Advanced Cluster Security for Kubernetes 4.10 introduce il supporto per la protezione di questi ambienti fornendo visibilità sulle vulnerabilità delle VM. Ecco i principali vantaggi.

• Gestione unificata delle vulnerabilità: identifica e gestisci le vulnerabilità delle VM direttamente nella console di Red Hat Advanced Cluster Security for Kubernetes, insieme ai carichi di lavoro containerizzati.
• Visibilità ottimizzata: visualizza tutte le risorse OpenShift, comprese quelle in esecuzione come VM, tramite un'unica interfaccia per ridurre la complessità di gestione.

Questa funzionalità è disponibile in anteprima tecnica. Leggi la documentazione Scanning virtual machines per ulteriori dettagli

Server StackRox MCP (upstream)

Il server StackRox MCP consente di identificare le esposizioni alle CVE in pochi secondi utilizzando query in linguaggio naturale, senza richiedere alcuna esperienza precedente con Red Hat Advanced Cluster Security for Kubernetes. Ciò è particolarmente utile per gestire gli exploit zero-day, poiché consente di valutare istantaneamente il rischio senza navigare nell'interfaccia utente di Red Hat Advanced Cluster Security for Kubernetes o effettuare più chiamate API. È possibile connettere il server MCP ai client preferiti, incluso OpenShift Lightspeed, con l'ambito di accesso legato allo specifico token API utilizzato durante la configurazione.

Al momento, il software MCP è disponibile solo in versione upstream.

• Prova il server StackRox MCP
• Integralo con Red Hat Lightspeed

Monitoraggio delle attività dei file (anteprima tecnica)

Red Hat Advanced Cluster Security for Kubernetes 4.10 introduce una nuova funzionalità di monitoraggio dell'attività dei file per rilevare interazioni non autorizzate o sospette con file sensibili sull'host sottostante. Questa funzionalità aiuta le organizzazioni a soddisfare i requisiti normativi e di conformità (come PCI DSS, HIPAA e NIST) che impongono il monitoraggio e la verifica dell'integrità del file system. Questa funzionalità offre diversi vantaggi.

• Distinzione tra host e container: Red Hat Advanced Cluster Security for Kubernetes distingue tra modifiche avviate da host e da container, associando automaticamente le attività a specifici deployment e spazi dei nomi Kubernetes.
• Visibilità forense: la funzionalità colma le lacune di visibilità acquisendo il timestamp, il nome del processo, il percorso di esecuzione e l'UID di ogni modifica.
• Monitoraggio dei percorsi critici: è possibile monitorare quattro percorsi critici dei nodi: /etc/passwd, /etc/shadow, /etc/sudoers e /etc/ssh/sshd_config.

Questa funzionalità è disponibile in anteprima tecnica.

Segreti di registrazione del cluster

Il segreto di registrazione del cluster (CRS), introdotto in Red Hat Advanced Cluster Security for Kubernetes 4.9 in anteprima tecnica, è ora completamente supportato con RHACS 4.10.  Inoltre, questo metodo è ora disponibile durante l'installazione tramite operatore. 

 

Il CRS separa chiaramente le credenziali utilizzate per la registrazione di bootstrap dei componenti protetti del cluster dal flusso di lavoro della comunicazione tra questi componenti. 

Questo metodo sostituisce l'init bundle obsoleto per la registrazione. I cluster esistenti che hanno utilizzato l'init bundle per la registrazione non subiranno conseguenze; tuttavia, si raccomanda l'uso del CRS per le nuove registrazioni di cluster, poiché è prevista la rimozione dell'init bundle in una versione futura.

Criteri di policy relativi alla data di correzione delle CVE 

RHACS 4.10 aggiunge un nuovo criterio di policy basato sulla data di correzione delle CVE. Questo consente alle organizzazioni di definire policy che si attivano in base a quando il fornitore ha reso disponibile per la prima volta la correzione per una vulnerabilità.

Utilizzando questo criterio, i team di sicurezza possono automatizzare l'applicazione degli SLA di correzione, garantendo la risoluzione delle vulnerabilità critiche entro un intervallo di tempo specifico dopo il rilascio di una patch. Ciò fornisce una misurazione più precisa della reattività delle patch rispetto all'uso della sola data di rilevamento della CVE.

Scopri di più su Red Hat Advanced Cluster Security for Kubernetes 4.10 leggendo le note di rilascio.