安全防护在任何数字化项目中都是至关重要的方面,Kubernetes 也不例外。我们构建了红帽 Kubernetes 高级集群安全防护,旨在为各类集群、资产和平台打造一个基础性的安全防护层,无论是在公共云、私有云还是混合云环境中,皆如此。今天,我们发布了红帽 Kubernetes 高级集群安全防护 4.10 版本,这是我们持续努力的一部分,旨在让红帽 OpenShift 用户更轻松地为集群构建和实施安全防护策略。
这些更新中最重要的是将漏洞管理功能集成到 OpenShift 控制台中,以及基础镜像与应用层之间的职责分离。这使得管理员和运维人员能够更轻松地处理安全相关信息和修复工作,而无需在不同的信息面板和上下文之间来回切换。
而且一如既往,我们通过此版本为未来的支持奠定更坚实的基础:我们针对在红帽 OpenShift 虚拟化上运行的虚拟机(VM)发布了漏洞管理技术预览版,并且我们还更改了基础镜像的处理方式。更多详情,请见下文。
红帽 Kubernetes 高级集群安全防护中的新增功能
如果您迫不及待地想要开始使用,请注册以免费试用红帽 Kubernetes 高级集群安全防护。如果您想了解更多详细信息,以下是此最新版本中的部分新增功能:
- 漏洞管理创新
- 基础镜像:职责分离
- OpenShift 控制台插件(技术预览版)
- 虚拟机漏洞管理(技术预览版)
- StackRox MCP 服务器(上游)
- 文件活动监控(技术预览版)
- 集群注册机密
- 基于 CVE 修复日期的策略标准
基础镜像:职责分离
企业组织通常使用标准化的基础镜像(也称为“黄金镜像”)来维护安全的基础。这些基础镜像通常既包含第三方提供商提供的版本(例如红帽企业 Linux(RHEL)),也包含 DevOps 团队为满足特定安全防护标准而构建的自定义镜像。
借助红帽 Kubernetes 高级集群安全防护 4.10,用户可以指定这些标准化镜像。红帽 Kubernetes 高级集群安全防护可识别应用镜像中的基础镜像,并将它的各个层与应用所有者添加的层区分开来。漏洞报告中新增了一个名为“层类型”的属性,用于明确说明组件的确切位置。请注意,基础镜像和应用层中可能同时存在相同的易受攻击组件。
这样一来,责任归属更加明确,修复速度也更快,从而能够在基础镜像健康状况、应用依赖项健康状况以及各团队的补丁响应速度方面,获得更精准的衡量指标。
OpenShift 控制台插件(技术预览版)
在红帽 Kubernetes 高级集群安全防护 4.10 中,您可以为安全集群上的 OpenShift 控制台启用新的动态插件。该插件新增了一个“安全防护”选项卡,可直接在 OpenShift 控制台界面中显示实时漏洞信息,而无需切换应用。主要优势包括:
- 零上下文切换:安全防护数据可直接在主工作区中获取,而无需在 OpenShift 控制台与红帽 Kubernetes 高级集群安全防护门户网站之间来回切换。
- 修复速度更快:通过查看漏洞信息和部署配置,团队可以在生命周期的早期阶段识别和修复安全缺陷。
- 即时可见性:可立即获取与特定集群相关的实时漏洞数据。
此功能是一项技术预览版功能。
虚拟机漏洞管理(技术预览版)
随着企业使用红帽 OpenShift 虚拟化对传统工作负载进行现代化改造,跨容器和虚拟机保持统一的安全防护态势至关重要。红帽 Kubernetes 高级集群安全防护 4.10 通过提供对虚拟机漏洞的可见性,从而为这些环境提供了安全防护支持。主要优势包括:
- 统一漏洞管理:直接在红帽 Kubernetes 高级集群安全防护控制台中,识别和管理虚拟机与容器化工作负载的漏洞。
- 简化可见性:通过单一界面查看所有 OpenShift 资产,包括作为虚拟机运行的资产,以降低管理复杂性。
此功能是一项技术预览版功能。有关详细信息,请参阅扫描虚拟机文档
StackRox MCP 服务器(上游)
StackRox MCP 服务器支持使用自然语言查询在几秒钟内识别 CVE 风险暴露情况,无需事先具备红帽 Kubernetes 高级集群安全防护方面的专业知识。这对于解决零日漏洞利用问题特别有价值,使用户能够立即评估风险,而无需浏览红帽 Kubernetes 高级集群安全防护界面或进行多次 API 调用。MCP 服务器可以连接到首选客户端,包括 OpenShift Lightspeed,其访问范围与设置期间使用的特定 API 令牌相关联。
目前,MCP 软件仅在上游可用。
文件活动监控(技术预览版)
红帽 Kubernetes 高级集群安全防护 4.10 引入了全新的文件活动监控功能,可检测与底层主机上敏感文件的未授权或可疑交互。此功能可帮助企业组织满足监管与合规性要求(例如 PCI DSS、HIPAA 和 NIST),这些要求规定必须对文件系统完整性进行监控和审计。此功能可实现:
- 主机和容器的区分:红帽 Kubernetes 高级集群安全防护可以区分主机启动的更改和容器启动的更改,自动将活动映射到特定的 Kubernetes 部署和命名空间。
- 取证可见性:该功能通过捕获每次变更的时间戳、进程名称、执行路径和 UID,弥合了可见性缺口。
- 关键路径监控:用户可监控四个关键节点路径:
/etc/passwd、/etc/shadow、/etc/sudoers 和 /etc/ssh/sshd_config。
此功能是一项技术预览版功能。
集群注册机密
集群注册机密(CRS)在红帽 Kubernetes 高级集群安全防护 4.9 中作为技术预览版引入,现已在 RHACS 4.10 中得到全面支持。 此外,现在通过 Operator 安装时,可以使用此方法。
CRS 将用于引导注册受保护集群组件的凭据,与这些组件之间的内部通信工作流清晰地分离开来。
此方法取代了已弃用的初始化捆绑包注册方式。使用初始化捆绑包进行注册的现有集群不受影响,但建议针对新集群注册使用 CRS,因为初始化捆绑包预计将在未来版本中删除。
基于 CVE 修复日期的策略标准
RHACS 4.10 新增了一项基于 CVE 修复日期的策略标准。这样,企业组织就可以制定根据供应商首次提供漏洞修复的时间触发的策略。
根据这一标准,安全团队可以自动执行修复 SLA,确保关键漏洞在补丁发布后的特定时间范围内得到解决。与仅使用 CVE 发现日期相比,这种方法能更精确地衡量补丁响应速度。
阅读发行说明,了解有关红帽 Kubernetes 高级集群安全防护 4.10 的更多信息。
关于作者
Michael Foster is a CNCF Ambassador, the Community Lead for the open source StackRox project, and Principal Product Marketing Manager for Red Hat based in Toronto. In addition to his open source project responsibilities, he utilizes his applied Kubernetes and container experience with Red Hat Advanced Cluster Security to help organizations secure their Kubernetes environments. With StackRox, Michael hopes organizations can leverage the open source project in their Kubernetes environments and join the open source community through stackrox.io. Outside of work, Michael enjoys staying active, skiing, and tinkering with his various mechanical projects at home. He holds a B.S. in Chemical Engineering from Northeastern University and CKAD, CKA, and CKS certifications.
