红帽 Kubernetes 高级集群安全防护

• 提供 Kubernetes 环境的完整视图，包括镜像、容器集、部署、命名空间和配置

• 发现并显示在所有集群跨度的命名空间、部署和容器集中的网络流量

• 收集每个容器中的关键系统级事件，以便进行事件检测

• 根据特定的语言、软件包、镜像层，扫描镜像中的已知漏洞

• 提供控制面板，突出显示风险最高的镜像漏洞和部署

• 根据预配置的密钥验证镜像签名，以实现镜像证明和完整性

• 将漏洞与运行中的部署关联，而不仅仅是镜像

• 根据漏洞细节强制执行策略：在构建时使用 CI/CD 集成，在部署时使用动态许可控制，在运行时使用原生 Kubernetes 控制

• 提供风险接受定制化功能，以增强基于风险的漏洞优先级并减少误报

• 让企业能够按需运行自我评估，自动执行合规性审计
• 评估 CIS 基准、支付卡行业（PCI）、健康保险携带与责任法案（HIPAA）、北美电路可靠性公司关键基础架构保护（NERC-CIP）以及 NIST SP 800-190 和 800-53 的数百种控制的合规性
• 提供每个标准控制的整体合规性仪表板概览，并支持导出证据，满足审计员的需求
• 提供合规详细信息视图，确定不符合特定标准和控制的集群、命名空间、节点或部署

• 可视化命名空间、部署和容器集之间的允许流量与活动流量，包括外部风险
• 利用 Kubernetes 内置的网络执行功能，确保一致、可移植和可扩展的分段
• 基线网络活动，建议全新的 Kubernetes 网络策略，消除不必要的网络连接
• 在实施前模拟网络策略变化，以大幅减少对环境的运维风险

• 通过结合红帽高级集群安全防护的漏洞优先级数据与配置详细信息和运行时活动，根据部署的整体安全风险，使用启发式算法对正在运行的部署进行排序
• 跟踪 Kubernetes 部署安全态势的改进情况，验证安全团队操作的影响

配置管理

• 提供预建的 DevOps 和安全策略，识别与网络风险、特权容器、以根用户身份运行的进程相关的配置违规，并确保符合行业标准
• 分析 Kubernetes 基于角色的访问控制（RBAC）设置，确定用户或服务帐户的特权和错误配置
• 跟踪机密信息，并检测哪些部署使用机密信息限制访问
• 强制执行配置策略，在构建时使用 CI/CD 集成，并在部署时使用动态许可控制

• 监控容器内的系统级事件，检测显示威胁的异常活动，并使用 Kubernetes 原生控制进行自动响应
• 确定容器中的流程活动基线，自动将流程列入白名单，无需手动加入白名单
• 使用预构建的策略，检测加密开采、权限升级和各种漏洞
• 使用扩展的 Berkeley Packet Filter（eBPF）或每个主要 Linux® 发行版的内核模块，灵活地收集系统级数据

• 提供丰富的应用编程接口（API）和预建插件，集成 DevOps 系统，包括 CI/CD工具、镜像扫描程序、sigstore、注册表、容器运行时、安全集成事件管理（SIEM）解决方案和通知工具