Security Center:Perlindungan file kontainer

Batasan

• Persyaratan Edisi: Hanya Edisi Ultimate Security Center yang mendukung fitur ini. Untuk informasi lebih lanjut, lihat Beli Security Center dan Tingkatkan dan turunkan spesifikasi Security Center.

• Konektivitas kluster: Hanya kluster yang terhubung ke Security Center yang dilindungi. Untuk melindungi kluster Kubernetes yang dikelola sendiri, hubungkan terlebih dahulu ke Security Center. Untuk informasi lebih lanjut, lihat Hubungkan kluster Kubernetes yang dikelola sendiri ke Security Center.

• Dukungan OS dan kernel: Server yang menghosting kluster Anda harus menjalankan sistem operasi dan versi kernel yang didukung. Untuk daftar kompatibilitas lengkap, lihat Sistem operasi dan versi kernel yang didukung.

• Direktori yang dilindungi per kluster: Jumlah direktori yang dilindungi yang ditambahkan label pod-nya dalam satu kluster tidak boleh melebihi 10 (hanya menghitung aturan yang diaktifkan). Melebihi batas ini akan menonaktifkan fitur untuk seluruh kluster.

• Label pod unik per kluster: Semua aturan yang diaktifkan dalam satu kluster dapat mereferensikan paling banyak 10 label pod unik (setelah deduplikasi). Melebihi batas ini akan menonaktifkan fitur untuk seluruh kluster.

Contoh: Cluster01 memiliki 12 aturan (Rule01–Rule12). Rule01 mereferensikan Label01, Rule02 mereferensikan Label02, dan seterusnya hingga Rule10 (Label10). Rule11 dan Rule12 keduanya mereferensikan Label10. Setelah deduplikasi, jumlah label unik menjadi 10, sehingga fitur berfungsi normal. Jika Anda menambahkan Rule13 yang mereferensikan Label10 dan Label11, jumlah label unik setelah deduplikasi menjadi 11, dan fitur menjadi tidak tersedia untuk Cluster01.

Label pod dapat direferensikan dalam suatu aturan meskipun tidak ada pod di kluster yang memiliki label tersebut.

Prasyarat

Sebelum memulai, pastikan Anda telah:

• Agen Security Center diinstal pada semua server yang menjalankan kluster Anda. Untuk informasi selengkapnya, lihat Instal Agen Security Center.

Buat aturan

1. Login ke Security Center console. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda lindungi: China atau Outside China.Login ke Security Center console.

2. Di panel navigasi kiri, pilih Protection Configuration > Container Protection > Container File Protection.

3. Di halaman Container File Protection, klik Create Rule.

4. Di panel Create Rule, konfigurasikan parameter berikut, lalu klik Next. Untuk Whitelist dan Excluded File Path: setiap entri tidak boleh lebih dari 50 karakter; pisahkan beberapa entri dengan titik koma (;); tentukan maksimal 10 proses whitelist dan 10 path file yang dikecualikan per direktori yang dilindungi. Cara pencocokan path bekerja: Aturan menggunakan pencocokan berbasis wildcard yang peka terhadap awalan. Contoh berikut menggunakan /dir1/test untuk mengilustrasikan perilaku tersebut. Cara setiap parameter menerapkan pencocokan: Saat mengonfigurasi Whitelist dan Excluded File Path, ikuti prinsip hak istimewa minimal: tentukan hanya yang diperlukan untuk beban kerja kontainer normal, dan hindari pola wildcard yang terlalu luas.

   • Protected File Directory /dir1/test (tepat): Hanya direktori /dir1/test itu sendiri yang dilindungi. Jika direktori tersebut dihapus atau diganti nama, peringatan akan dihasilkan atau proses diblokir. Subdirektori dan file di dalamnya tidak termasuk dalam perlindungan.

   • Whitelist /dir1/test (tepat): Proses yang dijalankan oleh executable /dir1/test dapat memodifikasi direktori yang dilindungi tanpa memicu peringatan. Proses yang dijalankan oleh /dir1/test/1.html tetap tunduk pada aturan.

   • Protected File Directory /dir1/* dengan Excluded File Path /dir1/test: Direktori /dir1/test dikecualikan. Menghapus atau mengganti nama /dir1/test tidak memicu aturan, tetapi memodifikasi konten di dalam /dir1/test/1.html tetap memicunya.

   Mulailah dengan Alert untuk memverifikasi tidak ada false positive, lalu beralih ke Block. Jika proses yang diblokir diperlukan untuk beban kerja normal, tambahkan ke Whitelist.

   Parameter	Deskripsi
   Rule Name	Masukkan nama aturan. Nama harus terdiri dari 6–50 karakter, hanya berisi huruf, angka, garis bawah (_), atau tanda hubung (-), dan dimulai dengan huruf.
   Protected File Directory	Masukkan direktori yang akan dilindungi. Setiap entri harus dimulai dengan / dan tidak lebih dari 500 karakter. Klik Add di kolom Actions untuk menambahkan hingga 10 direktori per aturan.
   Whitelist	Masukkan proses yang diizinkan untuk memodifikasi direktori yang dilindungi, atau masukkan direktori yang dapat dimodifikasi. Ketika proses dalam whitelist memodifikasi direktori, tidak ada peringatan yang dihasilkan dan proses tidak diblokir.
   Excluded File Path	Masukkan subdirektori atau file dalam direktori yang dilindungi yang dikecualikan dari perlindungan. Modifikasi pada path yang dikecualikan tidak memicu peringatan atau pemblokiran.
   Action	Pilih tindakan yang dilakukan Security Center saat terdeteksi adanya perubahan tidak sah: Alert (hanya menghasilkan peringatan, tidak memblokir proses) atau Block (menghasilkan peringatan dan memblokir proses perubahan).

   Pola	Yang dicocokkan	Yang tidak dicocokkan
   /dir1/test (tepat)	/dir1/test saja	/dir1/test/1.html, /dir1/test/dir1/2.html
   /dir1/test* (wildcard)	/dir1/test, /dir1/test/1.html, /dir1/test1/1.html	/dir1/tes
   /dir1/test/*.html	/dir1/test/index.html, /test/dir1/index.html	/dir1/test/file.css

5. Di daftar kluster, pilih kluster pada kolom Cluster Name. Di kolom Pod Tag, pilih label pod, lalu klik OK. Gunakan label pod yang diawali dengan app. Di Kubernetes, label adalah pasangan kunci-nilai yang digunakan untuk mengorganisasi sumber daya seperti pod, Deployment, dan Service. Label yang diawali dengan app mengelompokkan sumber daya berdasarkan aplikasi, sehingga pengelolaan cakupan menjadi lebih dapat diprediksi. Untuk informasi lebih lanjut, lihat Label yang direkomendasikan. Jika tidak ada label yang muncul di dropdown, ketik langsung label tersebut. Untuk menerapkan aturan ke beberapa kluster atau beberapa label pod, klik Add di kolom Actions.

Manage rules

Di halaman Container File Protection, Anda dapat melakukan operasi berikut pada aturan yang sudah ada.

Aktifkan atau nonaktifkan aturan

Temukan aturan tersebut dan alihkan sakelar di kolom Enable.

Edit aturan

Temukan aturan tersebut dan klik Edit di kolom Actions untuk mengubah nama, konfigurasi, atau cakupannya.

Hapus aturan

Temukan aturan tersebut dan klik Delete di kolom Actions. Klik OK di dialog konfirmasi.

Lihat hasil peringatan

Setelah membuat dan mengaktifkan aturan, buka Detection and Response > Alerts, klik tab tersebut, lalu atur Alert Type ke Container Active Defense. Peringatan yang dihasilkan oleh perlindungan file kontainer semuanya diawali dengan File Defense.

Status peringatan bervariasi berdasarkan aksi yang dikonfigurasi dalam aturan pemicu:

• Aksi Alert: Status peringatan adalah Container. Tangani peringatan ini segera. Untuk informasi lebih lanjut, lihat Lihat dan tangani peringatan keamanan.

• Aksi Block: Status peringatan adalah Blocked. Security Center menangani peringatan ini secara otomatis. Lihat peringatan tersebut dalam daftar peringatan yang telah ditangani.

Sistem operasi dan versi kernel yang didukung