アドミッションコントロールポリシー

Container Admission Control Kubernetes Admission Controlのベストプラクティスルールを含むCloudGuard管理ルールセットです。このルールセットは、Workload Protection > Admission Control Rulesets に移動し、CloudGuard-Managed Type でフィルタリングすると表示されます。

デフォルトのアドミッションコントロールポリシーでは、このルールセットが使用されます。CloudGuard は、アドミッション制御を有効にするすべての新しいクラスタと既存のクラスタにデフォルトの検出モードポリシーをアタッチします。

セキュリティソリューションを提供するために、CloudGuard Agent では、ほとんどのワークロードに対して制限する必要がある昇格された権限が必要になることがあります。この要件に対処するために、既定のポリシーでは、CloudGuardソリューションを合理化するための除外が事前設定されています。

CloudGuard でのアドミッション制御の設定

クラスタにGSLポリシーを設定するには、次の手順を実行します。

  1. アドミッション制御ルールセットの作成

  2. ルールセットへのルールの追加

  3. ルールセットをクラスタにバインドするアドミッション制御ポリシーの作成

  1. Workload Protection > Admission Control Rulesets に移動し、Add Ruleset をクリックします。

  2. 新規ルールセットの作成ウィンドウで、ルールセット名と説明を入力します。

  3. Createをクリックします。新しいルールセットページが開きます。


ベストプラクティス - Use Case オプションは、アドミッションコントロールルールセットの作成で最も一般的なシナリオを対象としています。適切なユースケースが見つからない場合にのみ、New Rule ボタンをクリックします。

  1. 新しく作成したルールセットページで、New Use Case をクリックします。Edit Rule GSL ウィンドウが開き、デフォルトのユースケースオプションが選択されます。

  2. リストから目的のユースケースを選択します。一部のパラメータは、一部のフィールドで自動的に設定されます。

  3. 利用可能なフィールドに欠落情報を入力して、GSL を定義します。

  4. または、Builder またはFree text オプションを使用してGSL を定義できます。

    1. GSL Builder を使用する場合は、Builder を選択します。ルールを定義するオブジェクトを選択すると、Builder にコンテキストが表示され、ルールの設定に役立ちます。

    2. ルールを自分で定義する場合は、Free text を選択して書き込みを開始します。

  5. Test Rule の下で、リストからEnvironment を選択し、Verify をクリックしてルールをテストします。

  6. 検証結果が有効な場合は、Done をクリックします。ルールページが開きます。

    または、Ruleset ページでNew Rule をクリックすると、このページを開くことができます。GSL フィールドをクリックすると、Edit Rule GSL ウィンドウが再び開きます。

  7. Titleを入力し、Severityを選択し、オプションでDescriptionRemediationCompliance Section、およびCategoryを入力します。

  8. Save をクリックして新しいルールを保存します。

- Kubernetes Pod のルールは、すべてのワークロードリソースに適用されます。

アドミッションコントロールポリシーは、ルールセットをクラスタにバインドし、通知の生成方法を定義します。

  1. Workload Protection > Admission Control Policies に移動します。このページには、アセットで使用可能なすべてのアドミッションコントロールポリシーが表示されます。

  2. Add Policy をクリックし、次を選択します。

    • Environment Policy このポリシーをクラスタに適用する場合

    • Organizational Unit Policy クラスタが属するOI に適用する場合

  3. Create New Policy ウィンドウで、ポリシーが適用される1 つ以上の環境またはOUを選択します。Nextをクリックします。

  4. 上記の手順2 で設定した1 つ以上のルールセットを選択します。

  5. ルールに違反した場合に実行する2 つのアクションのいずれかを選択します。

    • Detection Mode - ポリシーはクラスタ上のイベントをブロックせず、違反したルールで定義された重大度のアラート通知のみを送信します。

    • Prevention Mode - ポリシーは、クラスタで違反したイベントをブロックし、違反したルールで定義された重大度でアラート通知を送信します。

    - 同じクラスタに異なるActionの設定で複数のポリシーを設定することができます。

    ベストプラクティス - Prevention mode を使用する前に、Detection mode で新しいポリシーを検証します。

  6. Nextをクリックします。

  7. ポリシーに違反した場合に受信する1 つ以上の通知を選択します。通知の追加をクリックして、新しい通知を設定できます。

  8. Saveをクリックします。CloudGuardアドミッションコントロールは、クラスタを保護します。

追加リンク

アドミッションコントロール

Kubernetesコンテナ