Red Hat Advanced Cluster Security新特性（3.71,3,72,3.73）

Red Hat Advanced Cluster Security 加速容器安全落地和容器扩展能力

2022 年下半年，红帽发布了 3 个持续创新的 RHACS 小版本，进行了若干功能的重大改进，包括： 3.71, 3.72, 和 3.73 ，一些明显的增强和新特性包括 :

• 改进漏洞管理
• 部署前自动生成网络策略
• 支持分析使用 Red Hat Universal Base Image （ UBI ） 9 和 Red Hat Enterprise Linux （ RHEL ） 9 RPM 构建的镜像中的漏洞

但 2022 年下半年最大的公告是 RHACS 云服务的 Service Preview 公告。

RHACS 云服务（ Service Preview ）

在 KubeCon 大会上 , Red Hat 宣告了 RHACS 云服务的 服务预览版的发布，该云服务提供 ACS 的所有功能，在整个应用程序生命周期中保护容器化应用程序和 Kubernetes ，同时将 ACS 的运营、管理和支持责任转移到红帽公司，使客户能够更加专注于创新和实现其业务目标，从而专注于提高交付速度。

在这个解决方案中， Red Hat 将 Kubernetes 本机安全功能与云服务的便利性和支持相结合，这有助于组织在构建、部署和维护云本机应用程序时采取安全第一的方法，而不考虑底层的 Kubernete 平台。

Red Hat 高级群集安全云服务提供：

• 更快的价值实现时间 ：根据需要跨云和地理位置在几分钟内快速部署 ACS ，从而将重点放在保护应用程序而不是管理基础设施上 .
• 降低复杂性 ：全托管的 RHACS 提供 7X24 的专家 SRE 支持和简化的应用程序生命周期体验
• 灵活定价 ： ACS 云服务允许基于消费的灵活定价策略

凭借与自主管理的 RHACS 产品相同的平台支持， ACS 云服务扩展了 Red Hat OpenShift 之外的保护，并包括来自所有主要云提供商的 Kubernetes 服务，包括 Amazon Elastic Kubernettes Service （ EKS ）、 Azure Kubernete Service （ AKS ）和 Google Kubernets Engine （ GKE ）

漏洞管理

已知的漏洞使对手更容易利用应用程序，而高度特权的容器会带来更大的安全风险。 3.72 版本引入了一个改进的策略，当在特权模式下运行的容器存在重要或关键但可修复的漏洞时，该策略会发出警报。

新策略称为“具有重要和关键可修复 CVE 的特权容器”策略，因为对于 Red Hat 用户，“关键”严重性比 CVSS 更准确地描述风险。在 3.72 版中，基于 CVSS 分数并称为“ Fixable CVSS>=6 and Privileged ”的旧策略现在默认禁用。

3.72 版增加了定位 Dockerfile 行的能力，其中引入了与易受攻击的映像中的每个 CVE 相关的违规组件。这一增强功能使管理员能够与负责维护该图像层的团队沟通 Dockerfile 中引入违规组件的精确行，从而更容易采取纠正措施

改进的漏洞管理仪表盘

在 3.71 版本中， Red Hat 推出了改进的漏洞管理仪表板，该仪表板具有过滤功能，可帮助客户更好地确定优先级。漏洞管理仪表板现在将常见漏洞和风险（ CVE ）分为图像 CVE 、节点 CVE 和平台 CVE 类别

单击“漏洞管理”视图标题上的 CVE 时，可以访问这些类别。或者，在查看实体列表时，这些类别列在“所有实体”下。

提高效率

自动停用集群

未适当停用的遗留群集可能会使凭据在您的环境中浮动。为了解决这一问题， RHACS 现在可以自动停用集群，这消除了安全问题，并减轻了与集群管理相关的任何手动过程。

使用 ROBOT 帐户简化身份验证 .

3.72 版本包括对 Quay 机器人帐户的支持。此添加功能可帮助拥有多个 Quay 存储库的客户使用 ACS 进行扫描。该增强通过支持 Quay robot 帐户机制和替换 OAuth 令牌方法简化了身份验证过程 .

POSTGRES 数据库

3.73 版包含了新的 Postgres 数据库，作为特定客户的技术预览选项。请注意，不应在生产环境中使用技术预览功能。高级集群安全将在未来使用 PostgreSQL 作为后端数据库，取代目前使用的内存中的 RocksDB 数据库。这种转换将是未来版本升级的一部分，从当前体系结构到基于 PostgreSQL 的体系结构的完全自动化迁移。

使用 PostgreSQL ，客户将受益于改进的性能、用于扩展数据库的标准数据库过程、备份和恢复以及使用 PostgreQL 数据库备份的灾难恢复。此外，您将能够使用现有的 PostgreSQL 基础设施为高级群集安全性提供 PostgreSQL 数据库。在此处阅读有关技术预览 ProgreSQL 的更多信息。如果您有兴趣参与技术预览计划， Red Hat 将与您一起手动迁移到 PostgreSQL ，以便在我们发布此功能之前，您可以在测试环境中探索这些好处。

自动创建 KUBERNETES 网络策略

Red Hat 还在 2022 年 KubeCon 的云原生安全大会上发表了主题演讲： Crossing the Kubernetes Network Policy Chasm- Michael Foster, Red Hat, Community Lead - StackRox. 。演讲讨论了如何将 pods 与 Kubernetes 网络策略隔离在确保 Kubernete 集群安全方面至关重要。主题演讲解释了开源技术如何帮助开发和安全团队在部署之前自动创建特定于应用程序的 Kubernetes 网络策略，以及管理这些策略的人工系统策略。