Red Hat Advanced Cluster Security for Kubernetes 

31 ottobre 2025
Risorsa: Scheda tecnica

Introduzione

Gli approcci odierni alla sicurezza potrebbero non essere idonei alla protezione delle applicazioni cloud native. Mettere in sicurezza le applicazioni cloud native significa anticipare i controlli nel ciclo di vita di sviluppo dell'applicazione, sfruttare direttamente l'infrastruttura per applicarli, fornire protezioni adatte agli sviluppatori e stare al passo con le sempre più rapide pianificazioni dei rilasci.

Red Hat® Advanced Cluster Security for Kubernetes, con tecnologia StackRox, protegge le applicazioni fondamentali per l'azienda, in fase di creazione, distribuzione e runtime. Puoi installare il nostro software all'interno della tua infrastruttura Kubernetes come soluzione di sicurezza autogestita, oppure utilizzarlo come Software-as-a-Service (SaaS) con gestione completa. Inoltre, può essere integrato con i flussi di lavoro e gli strumenti DevOps che usi già per ottimizzare l'affidabilità della sicurezza e della conformità. Il motore dei criteri include centinaia di controlli integrati per l'applicazione delle procedure DevOps e di sicurezza basate su standard di settore come i benchmark del Center for Internet Security (CIS) e le linee guida del National Institute of Standards Technology (NIST), ma anche soluzioni di sicurezza del runtime e opzioni di gestione della configurazione per container e Kubernetes.

Red Hat Advanced Cluster Security costituisce un'architettura Kubernetes native che consente ai team DevOps e InfoSec di rendere operativa la sicurezza di piattaforme e applicazioni.

Una soluzione di sicurezza Kubernetes native per le applicazioni cloud native

Caratteristiche e vantaggi

  • Costi operativi inferiori
    • Orienta i team che si occupano di sviluppo, operazioni e sicurezza verso un insieme comune di strumenti e procedure di sicurezza Kubernetes native e fornisci protezioni per i singoli utenti.
    • Applica controlli Kubernetes native durante le fasi di creazione, distribuzione e runtime delle applicazioni per aumentare la visibilità e per gestire in modo più efficiente le vulnerabilità, le violazioni di criteri e configurazioni e il comportamento del runtime applicativo.
    • Individua ed elimina i problemi di sicurezza in fase di sviluppo per ridurre i costi (Shift Left).
  • Rischio operativo inferiore
    • Allinea la sicurezza e l'infrastruttura per ridurre il downtime delle applicazioni sfruttando le funzionalità Kubernetes integrate, come i criteri di rete per la segmentazione e il controller di ammissione per l'applicazione dei criteri di sicurezza.
    • Argina le minacce utilizzando i controlli di sicurezza Kubernetes native per applicare criteri di sicurezza e ridurre al minimo i rischi per le applicazioni e le operazioni dell'infrastruttura. Ad esempio, puoi impiegare i controlli per contenere una violazione, richiedendo automaticamente a Kubernetes di ridurre a zero i pod sospetti o di eliminare e riavviare le istanze delle applicazioni violate.
  • Sviluppo più efficiente
    • Analizza attivamente le vulnerabilità nei repository, nelle pipeline di sviluppo e in produzione.
    • Sfrutta gli strumenti Kubernetes e di integrazione e distribuzione continue (CI/CD) che già usi per ottimizzare la produttività degli sviluppatori con protezioni di sicurezza integrate, mantenendo al tempo stesso il profilo di sicurezza che desideri.
    • Sincronizza gli aggiornamenti e il supporto con le diverse versioni di Red Hat OpenShift®, assicurando la compatibilità e l'aggiornamento delle funzionalità di sicurezza.
    • Utilizza i dati certificati sulle vulnerabilità di Red Hat per garantire maggiore accuratezza e pertinenza per gli ambienti Red Hat OpenShift.

I vantaggi in dettaglio

AmbitoVantaggi
Visibilità
  • Offre una panoramica completa dell'ambiente Kubernetes, inclusi immagini, pod, distribuzioni, spazi dei nomi e configurazioni.
  • Individua e mostra il traffico di rete in tutti i cluster relativi a spazi dei nomi, distribuzioni e pod.
  • Acquisisce gli eventi critici a livello di sistema in ogni container per il rilevamento degli imprevisti.
Gestione delle vulnerabilità
  • Rileva le vulnerabilità a livello di host e le potenziali minacce alla sicurezza in Red Hat Enterprise Linux® CoreOS.
  • Esegui la scansione delle immagini per individuare le vulnerabilità note in base a linguaggi, pacchetti o livelli di immagine specifici.
  • Evidenzia le distribuzioni e le vulnerabilità delle immagini più a rischio per organizzare la risposta in base alle priorità.
  • Correla le vulnerabilità agli spazi dei nomi, ai deployment in esecuzione e alle immagini.
  • Classifica i risultati in base a piattaforma, nodo e carico di lavoro per semplificare il monitoraggio e l'assegnazione della responsabilità.
  • Applica i criteri in base ai dettagli della vulnerabilità durante la creazione, il deployment e il runtime.
  • Integra ACS con soluzioni di terze parti utilizzando roxctl e/o l'interfaccia di programmazione delle applicazioni (API) per fornire notifiche sulle vulnerabilità negli strumenti utilizzati quotidianamente dai team (Jira e ServiceNow).
Conformità
  • Valuta la conformità con i controlli tecnici dei framework normativi e di sicurezza, tra cui CIS, Payment Card Industry (PCI), NIST SP 800-53, DISA STIG e NERC-CIP.
  • Visualizza la conformità complessiva dei controlli di ogni standard con la possibilità di esportare le evidenze per gli auditor.
  • Visualizza in dettaglio i risultati della conformità per individuare gli spazi dei nomi di cluster, spazi dei nomi, nodi o deployment che richiedono una correzione.
  • Pianifica le scansioni di conformità e automatizza la creazione di report basati sull'evidenza.
Segmentazione della rete
  • Mostra il traffico consentito e quello attivo tra gli spazi dei nomi, le distribuzioni e i pod, incluse le esposizioni all'esterno in fase di esecuzione.
  • Identifica i processi in esecuzione in attesa di connessione.
  • Identifica il traffico di rete anomalo e definisci e applica i criteri di runtime.
  • Invia un avviso sulle violazioni dei criteri quando viene rilevato traffico non autorizzato.
  • Genera un grafico della connettività e mostra le differenze contestuali tra le due versioni dell'applicazione prima del deployment.
  • Simula le modifiche ai criteri di rete prima che vengano implementate per limitare il più possibile il rischio operativo nell'ambiente.
  • Implementa lo shift left ai criteri di rete Kubernetes analizzando i manifest delle applicazioni prima del deployment.
Definizione dei profili di rischio
  • Classifica euristicamente i deployment in esecuzione in base al rischio di sicurezza complessivo, combinando fattori come vulnerabilità, violazioni dei criteri di configurazione e attività di runtime.
  • Monitora i miglioramenti del profilo di sicurezza delle distribuzioni Kubernetes per convalidare l'impatto degli interventi del team dedicato alla sicurezza.
  • Cerca i deployment in esecuzione in tutti i cluster per modellare i vettori delle minacce e individuare i modelli di rischio.
Gestione della configurazione
  • Prevedi criteri DevOps e di sicurezza predefiniti per individuare le violazioni di configurazione correlate alle esposizioni della rete, ai container privilegiati, ai processi eseguiti come root e alla conformità con gli standard del settore.
  • Analizza le impostazioni del controllo degli accessi basato sui ruoli (RBAC) di Kubernetes per identificare i privilegi degli account utente o servizio e i relativi errori di configurazione.
  • Monitora i segreti e rileva i deployment che li utilizzano per limitare gli accessi.
  • Applica criteri di configurazione utilizzando l'integrazione CI/CD durante la creazione e il controllo di ammissione dinamica in fase di distribuzione.
Rilevamento del runtime e risposta
  • Monitora gli eventi per rilevare attività anomale indicative di una minaccia con correlazione agli oggetti Kubernetes.
  • Implementa una risposta automatizzata non distruttiva utilizzando i controlli Kubernetes native con un impatto minimo sulle operazioni aziendali.
  • Stabilisci lo standard per le attività di processo nei container per definire un elenco dei processi autorizzati in modo automatico anziché manuale.
  • Utilizza criteri predefiniti per rilevare il mining di criptovalute, l'escalation dei privilegi e vari tipi di exploit.
  • Monitora gli eventi degli amministratori di Kubernetes e blocca i comportamenti dannosi.
  • Integra le soluzioni SIEM (External Security Integration Event Management) e SOAR (Security Orchestration, Automation, and Response) per potenziare i flussi di lavoro di correzione degli errori. 
Guardrail dei criteri di sicurezza
  • Identifica i punti deboli della configurazione della sicurezza, come le esposizioni di rete, i container con privilegi, i processi eseguiti come root, con criteri pronti all'uso che possono essere applicati in fase di compilazione, distribuzione o runtime.
  • Crea policy personalizzate basate su costrutti Kubernetes native, tra cui API Kubernetes, log di audit e risorse dello spazio dei nomi.
  • Garantisci la sicurezza della catena di distribuzione integrando Advanced Cluster Security con le pipeline CI/CD per verificare la presenza di vulnerabilità note ed errori di configurazione prima del deployment.
  • Verifica delle firme delle immagini per l'attestazione e l'integrità delle immagini.
  • Analizza le impostazioni del controllo degli accessi basato sui ruoli (RBAC) di Kubernetes per identificare i privilegi degli account utente o servizio e i relativi errori di configurazione.
  • Monitora i segreti e rileva i deployment che li utilizzano.
  • Gestisci in modo scalabile i criteri grazie alle etichette Kubernetes e all'approccio Policy as Code.
Integrazioni
  • Offre un'API completa e plugin predefiniti per l'integrazione con i sistemi DevOps, inclusi strumenti CI/CD, scanner di immagini, sigstore, registri, runtime dei container, soluzioni SIEM e strumenti di notifica.


È ora di vedere Red Hat Advanced Cluster Security in azione

Inizia ora la prova gratuita

Tag:Automazione e gestione