配置容器集群防护策略
您可以根据自身业务情况,配置容器集群防护策略,例如配置触发告警的风险(基线、漏洞、恶意文件)等级、容器集群防护范围、镜像白名单以及告警事件发生后HSS执行的防护动作等。
创建防护策略
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏,选择“容器集群防护”界面。 ,进入
- 选择“防护策略”页签,单击“创建策略”。
- 在创建策略弹窗中,配置策略参数。相关参数说明请参见表 配置容器集群防护策略参数说明。
图1 创建防护策略
表1 配置容器集群防护策略参数说明 参数名称
参数说明
取值样例
策略模板
选择策略生效模板,操作如下:
- 单击“选择策略模板”,弹出选择策略模板对话框。
- 选中任一策略模板,单击“确定”,选择成功。
您可以根据策略说明,选择符合您需求的策略模板。
选择策略模板后,需要根据策略模板要求,填写一些策略参数值,您可以根据参数说明提示进行填写。
K8sPSPPrivilegedContainer
策略名称
自定义输入策略名称。
test
策略描述
自定义输入策略用途,做策略区分。
测试
防护动作
选择当HSS发现集群中存在基线、漏洞或恶意脚本风险的镜像启动时的防护动作。
- 告警:在“告警”的事件。 页面生成一个防护动作为
- 阻断:阻断风险镜像运行,并在“阻断”的事件。 页面生成一个防护动作为
- 放行:在“放行”的事件。 页面生成一个防护动作为
阻断
防护范围
选择集群的防护范围。
当选择镜像阻断策略时,需要额外设置镜像、标签防护范围。
-
加白名单(可选)
填写需要加入白名单的镜像名称。填写格式为“镜像名称:镜像版本”,镜像名称只能包含数字、字母、下划线、中划线、点;多个镜像名称以换行符进行区分。
填写示例如下:
须知:加入白名单的镜像启动时,HSS将不会进行安全检测,请谨慎操作!
-
- 单击“创建”,完成策略创建。
您可以在防护策略列表中查看创建的防护策略。
编辑或删除集群防护策略
- 进入 页签。
- 在防护策略所在行的“操作”列,单击需要执行操作。
- 查看YAML:查看YAML格式的防护策略内容。
- 编辑:修改防护策略信息。
- 删除:删除不需要的防护策略。
删除策略后,策略关联的容器集群将停止防护,请谨慎操作!
- 单击“确认”,完成编辑或删除。