OpenShift 文档正在迁移,很快将仅在docs.redhat.com(所有 Red Hat 产品文档的首页)提供。立即体验新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

Red Hat Advanced Cluster Security for Kubernetes 4.6

Red Hat Advanced Cluster Security for Kubernetes (RHACS) 是一款企业级的、Kubernetes 原生的容器安全解决方案,可保护您在应用程序生命周期的构建、部署和运行时阶段的关键应用程序。Red Hat Advanced Cluster Security for Kubernetes 部署到您的基础设施中,并与您的 DevOps 工具和工作流程集成。这种集成提供了更好的安全性和合规性,使 DevOps 和 InfoSec 团队能够将安全操作化。

表 1. 发布日期
RHACS 版本 发布日期

4.6.0

2024年12月3日

4.6.1

2024年12月18日

关于4.6.0版本

RHACS 4.6包含以下新功能、改进和更新

架构
合规性
文档
网络
平台
策略
漏洞管理

新功能

此版本增加了与以下组件和概念相关的改进

在安全集群中支持ARM架构(技术预览)

在安全集群中支持ARM架构仅为技术预览功能。技术预览功能不受Red Hat生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat不建议在生产环境中使用它们。这些功能提供对即将推出的产品功能的早期访问,使客户能够在开发过程中测试功能并提供反馈。

有关Red Hat技术预览功能的支持范围的更多信息,请参阅技术预览功能支持范围

RHACS现在仅在RHACS安全集群中提供对ARM架构的支持。此架构为安全集群提供了增强的灵活性和性能,包括以下好处:

  • 高效的功耗

  • 更好地处理资源密集型任务

  • 经济高效的扩展

有关更多信息,请参阅不同架构的安装方法。RHACS Central组件不支持ARM架构。

Scanner V4 使用 CSAF-VEX 进行漏洞数据

Red Hat正在转向通用安全咨询框架 (CSAF) 漏洞可利用性交换 (VEX) 漏洞数据,作为标准化的安全咨询格式,用于沟通影响Red Hat产品 的漏洞。特别是,VEX配置文件描述了哪些Red Hat产品和组件受通用漏洞和披露 (CVE) ID标识的特定漏洞的影响,或已知不受其影响。此格式还比以前更详细地描述了漏洞数据。如果您已将Scanner V4配置为进行漏洞扫描,则RHACS现在使用Red Hat CSAF-VEX漏洞数据源。

有关Red Hat安全数据和VEX的更多信息,请参阅以下资源:

有关Scanner V4和CSAF-VEX的更多信息,请参阅以下文档:

Scanner V4 对 RHCOS 的支持(技术预览)

Scanner V4 对 RHCOS 的支持仅为技术预览功能。技术预览功能不受Red Hat生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat不建议在生产环境中使用它们。这些功能提供对即将推出的产品功能的早期访问,使客户能够在开发过程中测试功能并提供反馈。

有关Red Hat技术预览功能的支持范围的更多信息,请参阅技术预览功能支持范围

RHACS现在支持使用Scanner V4扫描Red Hat Enterprise Linux CoreOS (RHCOS) 节点。有关更多信息,请参阅使用Scanner V4启用RHCOS节点扫描

支持策略即代码(技术预览)

策略即代码仅为技术预览功能。技术预览功能不受Red Hat生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat不建议在生产环境中使用它们。这些功能提供对即将推出的产品功能的早期访问,使客户能够在开发过程中测试功能并提供反馈。

有关Red Hat技术预览功能的支持范围的更多信息,请参阅技术预览功能支持范围

在此版本中,RHACS增加了将RHACS策略作为Kubernetes自定义资源进行管理的能力,从而实现了Argo CD等GitOps工作流程。有关更多信息,请参阅将策略作为代码进行管理

合规性报告(技术预览)

合规性报告仅为技术预览功能。技术预览功能不受Red Hat生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat不建议在生产环境中使用它们。这些功能提供对即将推出的产品功能的早期访问,使客户能够在开发过程中测试功能并提供反馈。

有关Red Hat技术预览功能的支持范围的更多信息,请参阅技术预览功能支持范围

合规性报告作为技术预览提供给所有运行合规性操作员版本1.6或更高版本的OpenShift集群。使用此功能,您可以更轻松地访问给定扫描计划的合规性结果(CSV文件)。

合规性报告提供以下选项:

  • 直接使用RHACS门户或API按需生成报告

  • 每次计划扫描时通过电子邮件定期发送报告

  • 在创建扫描配置时创建电子邮件通知程序作为发送按需报告的目标

  • 为给定的扫描配置生成按需报告,RHACS会将其发送到该扫描配置上配置的任何通知程序

有关更多信息,请参阅计划合规性扫描和评估配置文件合规性

在网络图中可视化外部实体(技术预览)

可视化外部实体仅为技术预览功能。技术预览功能不受Red Hat生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat不建议在生产环境中使用它们。这些功能提供对即将推出的产品功能的早期访问,使客户能够在开发过程中测试功能并提供反馈。

有关Red Hat技术预览功能的支持范围的更多信息,请参阅技术预览功能支持范围

网络图现在提供了对外部实体连接的更多见解。通过此更新,您可以查看与这些外部连接关联的特定IP地址,从而更全面地了解网络活动。

要将RHACS配置为为集群收集此信息,您可以使用ConfigMap修改安全集群的运行时配置。有关更多信息,请参阅可视化外部实体

添加了 Microsoft Sentinel 通知程序

RHACS添加了一个Microsoft Sentinel通知程序,用于将警报和审核日志发送到Azure Log Analytics工作区。有关更多信息,请参阅与Microsoft Sentinel通知程序集成

支持使用非AWS S3兼容提供商进行备份

RHACS添加了一个新的外部备份集成,用于非AWS S3兼容提供商。有关更多信息,请参阅与S3 API兼容的服务集成

漏洞管理页面更新

**漏洞管理**页面进行了更新和改进,包括以下更改:

CVE发布日期

RHACS现在在门户中显示的漏洞管理数据以及从API获得的数据中报告CVE发布日期。此字段使用从特定供应商的安全数据馈送(如果可用)中获得的CVE的第一个发布日期。如果缺少来自供应商的数据,则使用国家漏洞数据库 (NVD) 的数据来填充CVE发布日期字段。

隐藏不需要显示的列

RHACS现在通过使用列管理功能来隐藏不需要的列。从RHACS的“工作负载CVE”部分开始,在包含文本“列”的表格上方显示一个按钮,并提供已启用列的数量。您可以单击此按钮以打开菜单以隐藏不需要的列。这些设置保存在浏览器的每个表格中,并在不同的会话中保持不变。

认证

Red Hat 高级集群安全云服务根据以下全球安全、合规性和数据保护标准认证

  • ISO/IEC 27001:2022

  • ISO/IEC 27017:2015

  • ISO/IEC 27018:2019

  • PCI DSS 4.0

  • SOC 2 Type 2

  • SOC 2 Type 3

重要的技术变更

此版本包含以下更改

增强了安全集群升级行为

对安全集群的升级功能进行了以下更改

  • RHACS 云服务:使用roxctl CLI(也称为清单方法)部署的安全集群现在可以使用集群升级程序自动升级。

  • RHACS 中心

    • 安全集群升级程序的消息和错误现在更简洁明了。

    • 现在记录了集群升级程序的常见故障场景。有关更多信息,请参见 集群升级程序故障排除

用于仅包含数据库信息的诊断包的标志

用于创建诊断包进行故障排除的roxctl central debug download-diagnostics命令有一个新的标志--with-database-only。该标志仅在诊断包中生成数据库指标。当您只需要数据库信息来诊断大型集群中的性能问题时,此标志非常有用。

其他更改

  • 用于检测 OpenShift 集群的 Helm 图表中的自动检测已更改。自动检测现在取决于project.openshift.io/v1 对象APIVersion

  • 传感器现在按密钥名称和注册表主机存储拉取密钥,而不仅仅是按注册表主机存储。此更改减少了当命名空间中同一个注册表存在多个密钥时委托扫描身份验证失败的情况,并且更贴近 Kubernetes 密钥处理。要禁用此功能并仅按注册表主机存储密钥,请将ROX_SENSOR_PULL_SECRETS_BY_NAME 设置为false

  • 端点/v2/compliance/scan/configurations/reports/run 方法已从PUT更改为POST

文档更新

文档更新包括以下内容

特性标志文档

已添加文档,向您展示如何管理作为技术预览功能启用的功能。有关更多信息,请参见 管理特性标志

API 文档公开可用

以前,API 文档只能通过点击并选择API 参考在产品中查看 API 文档。API 文档现在公开可用;请参见 API 参考

已弃用和已删除的功能

早期版本中提供的一些功能已被弃用或删除。

已弃用的功能仍包含在 RHACS 中,并将继续得到支持;但是,它将在此产品的未来版本中删除,不推荐用于新的部署。有关已弃用和删除的主要功能的最新列表,请参见下表。表后提供了其他已删除或已弃用的功能。

在表中,功能使用以下状态标记

  • GA:正式发布

  • TP:技术预览

  • DEP:已弃用

  • REM:已删除

  • NA:不适用

表 2. 已弃用和已删除的功能跟踪器
功能 RHACS 4.4 RHACS 4.5 RHACS 4.6

用于 Red Hat OpenShift 集群管理器[1] 的 API 令牌身份验证

GA

GA

DEP

definitions.stackrox.io

DEP

DEP

DEP

Google Container Registry 集成[2]

GA

GA

DEP

内核支持包和驱动程序下载功能[3]

NA

DEP

DEP

Istio 漏洞报告

DEP

DEP

DEP

rhacs-collector-slim* 镜像[4]

NA

DEP

DEP

stackrox-db 中心 PVC[5]

GA

GA

REM

StackRox 扫描程序

GA

GA

DEP

/v1/availableAuthProviders 端点

GA

DEP

DEP

/v1/clustercves/suppress API[6,7]

DEP

DEP

DEP

/v1/clustercves/unsuppress API[6,7]

DEP

DEP

DEP

/v1/cve/requests API[8]

DEP

DEP

REM

/v1/nodecves/suppress API[6,7]

DEP

DEP

DEP

/v1/nodecves/unsuppress API[6,7]

DEP

DEP

DEP

/v1/summary/counts 端点

NA

DEP

DEP

/v1/tls-challenge 端点

DEP

DEP

DEP

漏洞管理 (1.0) 菜单项[9]

DEP

DEP

DEP

漏洞报告创建者权限

DEP

DEP

DEP

  1. API 令牌身份验证已被 Red Hat OpenShift 集群管理器弃用。相应的云源集成现在使用服务帐户进行身份验证。

  2. 由于 Google 弃用 Container Registry,Google Container Registry 集成现已弃用。用户应使用 Artifact Registry 作为注册表替换,并使用 Scanner V4 作为扫描程序替换。

  3. 内核支持包和驱动程序下载功能已弃用。

  4. rhacs-collector-slim* 镜像已被弃用。rhacs-collector 镜像过去包含内核模块和 eBPF 探针,但 RHACS 不再需要这些项目。rhacs-collector* 镜像和 rhacs-collector-slim* 镜像现在功能相同。计划在未来版本中删除 rhacs-collector-slim* 镜像。

  5. 中心 PVC stackrox-db 已删除,并释放现有卷。已从roxctl中删除以下用于配置中心附加持久性存储的标志

    • roxctl central generate k8s pvcroxctl central generate openshift pvc 不再具有标志--name--size--storage-class

    • roxctl central generate k8s hostpathroxctl central generate openshift hostpath 不再具有标志--hostpath--node-selector-key--node-selector-value

  6. 此对象由特性标志控制,可以使用ROX_VULN_MGMT_LEGACY_SNOOZE环境变量启用或禁用。

  7. v1/nodecves/suppressv1/clustercves/suppressv1/imagecves/suppress 的 JSON 请求指定持续时间的格式已更改为 ProtoJSON 格式。仅支持表示秒数的数字值(可选的小数秒表示纳秒精度)后跟s后缀。例如,0.300s-5400s9900s。以前有效的TimeUnit nsusµsmsmh 不再受支持。

  8. 用于管理漏洞异常的/v1/cve/requests API 已删除。使用新的/v2/vulnerability-exceptions/ API。

  9. 漏洞管理下的仪表盘视图已弃用。使用工作负载 CVE异常管理平台 CVE节点 CVE视图作为替代方案。

已弃用的功能

以下部分提供有关其他已弃用功能的信息

  • 为了统一流式和单向API请求的响应数据,进行了以下更改

    • 已弃用失败的单向API请求返回的error字段。请改用message字段来检索错误信息,而不要使用error字段。message字段包含与error字段相同的信息。

    • 在此版本中,Red Hat移除了gRPC流式API返回的错误响应中的以下字段:

      • grpcCode

      • httpCode

      • httpStatus

        在此版本中,响应包含新的code字段,其中包含grpcCode数据。

4.6.0版本中的错误修复

发布日期:2024年12月3日

  • 在此版本之前,在查看**工作负载CVE**单页视图中**首次发现**列中受影响的镜像时,时间戳数据显示不正确。此更新解决了此问题。

  • 在此版本之前,包含严重性未知的CVE的**漏洞管理**窗口在查看镜像时显示不正确的CVE计数。此更新解决了此问题。

  • 在运行时监控中,进程名称和参数在包含无效UTF-8字符时可能会导致序列化问题。这导致收集器日志中出现错误消息。现在,如有必要,这些字符将被过滤并替换为?

  • 以前,在使用委托扫描时,当镜像注册表内容自部署以来发生更改时,会为标记引用的较旧镜像错误地提取较新的镜像元数据和层。现在,提取的元数据和层基于容器运行时提供的镜像摘要(如果可用),而不是仅基于标记。

关于4.6.1版本

发布日期:2024年12月18日

此RHACS版本修复了以下错误:

  • 修复了由于HTTP可达性而导致Sensor过早上线的问题,假定gRPC连接处于活动状态。

  • 修复了由于清理不足导致列值中的HTML代码在PDF中呈现的问题。

镜像版本

您可以手动拉取、重新标记和推送Red Hat Advanced Cluster Security for Kubernetes镜像到您的注册表。当前版本包含以下镜像:

表3. Red Hat Advanced Cluster Security for Kubernetes镜像
镜像 描述 当前版本

主镜像 (Main)

包含Central、Sensor、准入控制器和合规性组件。还包括用于持续集成(CI)系统的roxctl

registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.6.1

Central数据库 (Central DB)

为Central提供数据库存储的PostgreSQL实例。

registry.redhat.io/advanced-cluster-security/rhacs-central-db-rhel8:4.6.1

扫描器 (Scanner)

扫描镜像和节点。

  1. registry.redhat.io/advanced-cluster-security/rhacs-scanner-rhel8:4.6.1

  2. registry.redhat.io/advanced-cluster-security/rhacs-scanner-slim-rhel8:4.6.1

扫描器数据库 (Scanner DB)

存储镜像扫描结果和漏洞定义。

registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:4.6.1

扫描器V4 (Scanner V4)

扫描镜像。

registry.redhat.io/advanced-cluster-security/rhacs-scanner-v4-rhel8:4.6.1

扫描器V4数据库 (Scanner V4 DB)

存储扫描器V4的镜像扫描结果和漏洞定义。

registry.redhat.io/advanced-cluster-security/rhacs-scanner-v4-db-rhel8:4.6.1

收集器 (Collector)

收集Kubernetes或OpenShift Container Platform集群中的运行时活动。

  1. registry.redhat.io/advanced-cluster-security/rhacs-collector-rhel8:4.6.1

  2. registry.redhat.io/advanced-cluster-security/rhacs-collector-slim-rhel8:4.6.1