A segurança é um aspecto importante de qualquer iniciativa digital, e com o Kubernetes não é diferente. Criamos o Red Hat Advanced Cluster Security for Kubernetes para formar uma camada fundamental de segurança em frotas, ambientes e plataformas, sejam nuvens públicas, privadas ou híbridas. Hoje lançamos a versão 4.10 do Red Hat Advanced Cluster Security for Kubernetes como parte do nosso esforço contínuo para facilitar a vida dos usuários do Red Hat OpenShift ao criar e aplicar políticas de segurança em seus clusters.
O principal destaque dessas atualizações é a nova integração do gerenciamento de vulnerabilidades ao OpenShift Console e a separação de funções entre imagens base e camadas. Isso facilita o gerenciamento de informações e correções de segurança para administradores e operadores, sem que precisem alternar entre painéis e contextos.
Como sempre, esta versão prepara ainda mais o terreno para oferecer suporte no futuro: Estamos lançando uma prévia de tecnologia do gerenciamento de vulnerabilidades para máquinas virtuais (VMs) executadas no Red Hat OpenShift Virtualization e mudamos a forma como tratamos as imagens base. Mais informações a seguir.
Novidades no Red Hat Advanced Cluster Security for Kubernetes
Para começar agora mesmo, inscreva-se para testar o Red Hat Advanced Cluster Security for Kubernetes gratuitamente. Para mais detalhes, aqui estão alguns dos novos recursos da versão mais recente:
- Inovações no gerenciamento de vulnerabilidades
- Imagens base: Separação de funções
- Plug-in do OpenShift Console (Technology Preview)
- Gerenciamento de vulnerabilidades para máquinas virtuais (Technology Preview)
- Servidor StackRox MCP (upstream)
- Monitoramento de atividades de arquivos (Technology Preview)
- Segredos de registro de clusters
- Critérios da política para data de correção de CVE
Imagens base: Separação de funções
Normalmente, as organizações usam uma imagem base padronizada (também conhecida como golden image) para manter uma base segura. Elas costumam incluir versões de provedores terceirizados, como o Red Hat Enterprise Linux (RHEL), bem como imagens personalizadas criadas por equipes de DevOps para atender a padrões de segurança específicos.
Com o Red Hat Advanced Cluster Security for Kubernetes 4.10, os usuários podem definir essas imagens padronizadas. O Red Hat Advanced Cluster Security for Kubernetes identifica a imagem base em uma imagem de aplicação e distingue suas camadas daquelas adicionadas pelo proprietário da aplicação. Um novo atributo chamado "tipo de camada" nos relatórios de vulnerabilidade esclarece exatamente onde um componente se encontra. Observe que o mesmo componente vulnerável pode existir simultaneamente na imagem base e nas camadas da aplicação.
Como resultado, há uma definição clara de responsabilidades e uma correção mais rápida de problemas, permitindo métricas mais precisas sobre a manutenção das imagens base, a gestão das dependências das aplicações e a agilidade na aplicação de correções por equipe.
Plug-in do OpenShift Console (Technology Preview)
No Red Hat Advanced Cluster Security for Kubernetes 4.10, você pode habilitar um novo plug-in dinâmico para o console do OpenShift em clusters protegidos. Este plug-in adiciona uma guia Security que exibe informações de vulnerabilidade em tempo real diretamente na interface do console do OpenShift, eliminando a necessidade de alternar entre aplicações. Os principais benefícios incluem:
- Alternância de contexto zero: Os dados de segurança ficam disponíveis diretamente no espaço de trabalho principal, eliminando a necessidade de alternar entre o console do OpenShift e o portal do Red Hat Advanced Cluster Security for Kubernetes.
- Remediação mais rápida: As equipes podem identificar e corrigir falhas de segurança mais cedo no ciclo de vida ao visualizar as vulnerabilidades junto com as configurações de implantação.
- Visibilidade instantânea: Os dados de vulnerabilidade em tempo real relevantes para o cluster específico ficam acessíveis imediatamente.
Esta capacidade é um recurso de Technology Preview.
Gerenciamento de vulnerabilidades para máquinas virtuais (Technology Preview)
À medida que as organizações modernizam as cargas de trabalho legadas com o Red Hat OpenShift Virtualization, manter uma postura de segurança unificada em containers e VMs é fundamental. O Red Hat Advanced Cluster Security for Kubernetes 4.10 introduz suporte para proteger esses ambientes ao fornecer visibilidade sobre as vulnerabilidades de VMs. Os principais benefícios são:
- Gerenciamento unificado de vulnerabilidades: identifique e gerencie vulnerabilidades de VMs diretamente no console do Red Hat Advanced Cluster Security for Kubernetes, junto a cargas de trabalho em containers.
- Visibilidade simplificada: visualize todos os ativos do OpenShift, incluindo os executados como VMs, por meio de uma única interface para reduzir a complexidade de gerenciamento.
Esta capacidade é um recurso de Technology Preview. Leia a documentação Escaneando máquinas virtuais para obter detalhes.
Servidor StackRox MCP (upstream)
O servidor StackRox MCP permite identificar exposições de CVE em segundos usando consultas em linguagem natural, sem exigir experiência prévia no Red Hat Advanced Cluster Security for Kubernetes. Isso é especialmente útil para tratar exploits de dia zero, permitindo que os usuários avaliem riscos instantaneamente, sem navegar pela UI do Red Hat Advanced Cluster Security for Kubernetes ou fazer várias chamadas de API. Você pode conectar o servidor MCP a clientes de sua preferência, incluindo o OpenShift Lightspeed, com o escopo de acesso vinculado ao token de API específico usado na configuração.
No momento, o software MCP está disponível apenas upstream.
Monitoramento de atividades de arquivos (Technology Preview)
O Red Hat Advanced Cluster Security for Kubernetes 4.10 apresenta um novo recurso de monitoramento de atividade de arquivos para detectar interações não autorizadas ou suspeitas com arquivos confidenciais no host subjacente. Esse recurso ajuda as organizações a atender aos requisitos regulatórios e de conformidade (como PCI DSS, HIPAA e NIST) que exigem o monitoramento e a auditoria da integridade do sistema de arquivos. Esse recurso permite:
- Diferenciação entre hosts e containers: Red Hat Advanced Cluster Security for Kubernetes distingue entre alterações iniciadas pelo host e pelo container, mapeando automaticamente a atividade para deployments e namespaces específicos do Kubernetes.
- Visibilidade forense: o recurso elimina lacunas de visibilidade ao capturar o timestamp, o nome do processo, o caminho de execução e o UID de cada alteração.
- Monitoramento de caminho crítico: os usuários podem monitorar quatro caminhos críticos do nó:
/etc/passwd, /etc/shadow, /etc/sudoers e /etc/ssh/sshd_config.
Esta capacidade é um recurso de Technology Preview.
Segredos de registro de clusters
O segredo de registro de cluster (CRS), introduzido no Red Hat Advanced Cluster Security for Kubernetes 4.9 como Technology Preview, agora conta com suporte completo no RHACS 4.10. Além disso, esse método agora está disponível ao instalar com o Operator.
O CRS oferece uma separação clara entre as credenciais usadas para o registro de bootstrap de componentes de cluster protegidos e o fluxo de trabalho de comunicação interna entre esses componentes.
Esse método substitui o init bundle descontinuado para registro. Os clusters existentes que usavam o init bundle para registro não são afetados. No entanto, recomenda-se o uso do CRS para novos registros de cluster, pois a remoção do init bundle está prevista para uma versão futura.
Critérios da política para data de correção de CVE
O RHACS 4.10 adiciona um novo critério de política com base na data de correção do CVE. Isso permite que as organizações definam políticas acionadas com base no momento em que o fornecedor disponibilizou pela primeira vez a correção de uma vulnerabilidade.
Ao usar esse critério, as equipes de segurança podem automatizar a aplicação de SLAs de remediação, garantindo a resolução de vulnerabilidades críticas dentro de um prazo específico após o lançamento de um patch. Isso oferece uma medição mais precisa da capacidade de resposta a patches do que usar apenas a data de descoberta do CVE.
Leia as notas de lançamento para saber mais sobre o Red Hat Advanced Cluster Security for Kubernetes 4.10.
Teste de produto
Red Hat OpenShift Container Platform | Teste de solução
Sobre o autor
Michael Foster is a CNCF Ambassador, the Community Lead for the open source StackRox project, and Principal Product Marketing Manager for Red Hat based in Toronto. In addition to his open source project responsibilities, he utilizes his applied Kubernetes and container experience with Red Hat Advanced Cluster Security to help organizations secure their Kubernetes environments. With StackRox, Michael hopes organizations can leverage the open source project in their Kubernetes environments and join the open source community through stackrox.io. Outside of work, Michael enjoys staying active, skiing, and tinkering with his various mechanical projects at home. He holds a B.S. in Chemical Engineering from Northeastern University and CKAD, CKA, and CKS certifications.
Mais como este
Por que o aumento das vulnerabilidades de segurança impulsionadas pela IA exige a atuação técnica de especialistas
Avanço dos recursos pós-quânticos de SSH no Red Hat Enterprise Linux
Collaboration In Product Security | Compiler
Keeping Track Of Vulnerabilities With CVEs | Compiler
Navegue por canal
Automação
Últimas novidades em automação de TI para empresas de tecnologia, equipes e ambientes
Inteligência artificial
Descubra as atualizações nas plataformas que proporcionam aos clientes executar suas cargas de trabalho de IA em qualquer ambiente
Nuvem híbrida aberta
Veja como construímos um futuro mais flexível com a nuvem híbrida
Segurança
Veja as últimas novidades sobre como reduzimos riscos em ambientes e tecnologias
Edge computing
Saiba quais são as atualizações nas plataformas que simplificam as operações na borda
Infraestrutura
Saiba o que há de mais recente na plataforma Linux empresarial líder mundial
Aplicações
Conheça nossas soluções desenvolvidas para ajudar você a superar os desafios mais complexos de aplicações
Virtualização
O futuro da virtualização empresarial para suas cargas de trabalho on-premise ou na nuvem