Kubernetes ワークロードとコンテナ イメージにルールを適用する Kubernetes セキュリティ強化ポリシーを作成できます。

前提条件

すべての前提条件はオプションです。

手順

  1. 左側のナビゲーション ペインで、[適用] > [K8s ポリシー] の順にクリックします。
  2. [セキュリティ強化ポリシー] タブをクリックします。
  3. [ポリシーの追加] をクリックします。
  4. [ポリシーを定義] 画面で、次の手順を実行します。
    1. ポリシーに名前を付けます。
    2. 使用可能な範囲のリストから範囲を選択するか、[範囲の追加] をクリックして、このポリシーで使用する新しい範囲を構成します。Kubernetes リソースへの Kubernetes アプリケーション範囲の追加を参照してください。
    3. 初期コンテナを有効にするには、[初期コンテナを含める] テキスト ボックスを選択します。
      初期コンテナは、Kubernetes ポッドのアプリケーション コンテナの前に実行される特殊なコンテナです。初期コンテナには、アプリケーション イメージには存在しないユーティリティまたはセットアップ スクリプトを含めることができます。初期コンテナには、多くの場合、より多くの権限がありますが、有効期限が短いためクラスタの全体的なセキュリティに与える影響は少なくなります。
    4. 一時コンテナはデフォルトで選択されています。
      一時コンテナは、ポッド内のデバッグに役立つ特別なタイプのコンテナです。このポリシーに関連付けられた一時コンテナを使用しない場合は、 [一時コンテナを含める] チェック ボックスの選択を解除します。一時コンテナの詳細については、 一時コンテナを参照してください。
    5. [次へ] をクリックします。
  5. [ルールの追加] 画面で、ポリシーに含めるルールを選択します。
    • カテゴリ内のすべてのルールまたはテンプレートのすべてのルールを追加できます。デフォルトですべてのルールに [アラート] アクションが設定されます。アクションを [ブロック] または [適用] にリセットできます。
      重要:
      • 適用ルールは、kube-system 名前空間では動作しません。この名前空間では、重要なシステム リソースへの予期しない変更を防止するためのブロック ルールとして機能します。
      • 必要に応じて、[適用] アクションの定義済み事前設定を含めるか、適用事前設定を追加します。ルールでユーザー入力が必要な場合は、[適用事前設定] ドロップダウン メニューが表示されます。適用する事前設定を参照してください。
    • ルールを一括で追加する代わりに、テンプレートから個別のルールを追加できます。そのためには、ルールの右側にある矢印 矢印 (>) アイコン アイコンをクリックします。
    • ルールを追加すると、画面の右側のペインにルールが表示されます。ここから、個別のルールまたはすべてのルールを削除できます。
  6. [次へ] をクリックします。
  7. [違反の確認] 画面で、ポリシーを有効にした後に通知が送信される違反の可能性を確認します。
    セキュリティ強化ポリシーの追加ウィザード中の [違反の確認] 画面
    注: 例外を作成できます。 [例外] タブをクリックしてから、 [条件の追加] をクリックします。 Kubernetes セキュリティ強化ポリシー ルールの例外の作成を参照してください。
  8. ルールの OnOff を切り替えて、セキュリティ強化ポリシーで現在アクティブなルールを定義します。
  9. [次へ] をクリックします。
  10. [ポリシーの確認] 画面で、[ポリシーを有効にする] をクリックします。

次のタスク

Kubernetes セキュリティ強化ポリシーを構成したら、[Kubernetes ワークロード] 画面の [ワークロードの詳細] ペインでルール違反を確認できます。