automation-suite
2023.4
false
Important :
Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique.
Guide d'installation d'Automation Suite sur EKS/AKS
Last updated 20 sept. 2024

Sécurité et conformité

Politiques du contrôleur d'accès et de l'OPA

Automation Suite est préconfiguré avec Gatekeeper et les stratégies OPA. Si vous apportez votre propre composant Gatekeeper et les stratégies OPA, vous pouvez ignorer ces composants lors de l’installation d’Automation Suite. Pour plus de détails, consultez la section Pile d’Automation Suite. Dans ce cas, passez en revue les stratégies OPA et les exceptions nécessaires à l’installation et à l’exécution d’Automation Suite.

Stratégies OPA

Policy

Actionsd’application

Espaces de noms/images à exclure

Contrôle la restriction de l’escalade aux privilèges root. Correspond au champ allowPrivilegeEscalation dans PodSecurityPolicy

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

Configure une liste d'autorisation de profils Apparmor à utiliser par les conteneurs. Cela correspond à des annotations spécifiques appliquées à PodSecurityPolicy.

deny

  • kube-system

Contrôle les capacités Linux sur les conteneurs. Correspond aux champs allowedCapabilities et requiredDropCapabilities dans PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

Contrôle la liste d’autorisation des pilotes FlexVolume. Correspond au champ allowedFlexVolumes dans PodSecurityPolicy.

deny

S/O

deny

  • istio-system

Contrôle l'attribution d'un FSGroup qui possède les volumes du pod. Correspond au champ fsGroup dans PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prereq**

Contrôle l’utilisation du système de fichiers hôte. Correspond au champ allowedHostPaths dans PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

Interdit le partage des espaces de noms PID et IPC de l'hôte par les conteneurs de pods. Correspond aux champs hostPID et hostIPC dans PodSecurityPolicy.

deny

  • kube-system

  • surveillance

Contrôle l'utilisation de l'espace de noms du réseau hôte par les conteneurs de pods.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prereq**

Contrôle la capacité de n'importe quel conteneur à activer le mode privilégié. Correspond au champ privileged dans PodSecurityPolicy.

deny

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

Contrôle les types procMount autorisés pour le conteneur. Correspond au champ allowedProcMountTypes d'une PodSecurityPolicy.

deny

S/O

Nécessite l'utilisation d'un système de fichiers racine en lecture seule par les conteneurs de pods.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prereq**

Contrôle le profil seccomp utilisé par les conteneurs. Correspond à l'annotation seccomp.security.alpha.kubernetes.io/allowedProfileNames sur PodSecurityPolicy.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

Définit une liste d'autorisation de configurations seLinuxOptions pour les conteneurs de pods.

deny

S/O

Contrôle les ID d'utilisateur et de groupe du conteneur et de certains volumes.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • velero

Limite les types de volumes montables à ceux spécifiés par l'utilisateur.

deny

  • surveillance

  • logging

Remarque :
  • L'espace de noms dapr-system n'est nécessaire que si vous installez Process Mining et Task Mining.
  • L'espace de noms airflow n'est nécessaire que si vous installez Process Mining.
  • prereq** sont des espaces de noms temporaires créés lors de l'exécution d'un prérequis ou d'une vérification de l'état. Les espaces de noms s'auto-suppriment une fois terminés.

Autres politiques OPA

Policy

Actionsd’application

Espaces de noms/images à exclure

Contrôle la capacité de n'importe quel pod à activer automountServiceAccountToken.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prereq**

Exige que les images de conteneur commencent par une chaîne de la liste spécifiée.

dryrun

  • registry.uipath.com

  • registry-data.uipath.com

deny

S/O

Interdit tous les services de type LoadBalancer.

deny

  • kube-system

Interdit tous les services de type NodePort.

deny

  • istio-system

  • vérifications préalables au réseau

Les utilisateurs ne doivent pas pouvoir créer des entrées avec un nom d'hôte vide ou générique (*), car cela leur permettrait d'intercepter le trafic pour d'autres services du cluster, même s'ils n'ont pas accès à ces services.

deny

S/O

Exige que les conteneurs aient des limites de mémoire et de processeur définies. Contraint les limites à respecter les valeurs maximales spécifiées.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prereq**

Nécessite que les requêtes de mémoire et de processeur des conteneurs soient définies. Contraint les requêtes à se situer dans les valeurs maximales spécifiées.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prérequis**"

Définit un ratio maximal entre les limites des ressources de conteneur et les requêtes.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prereq**

Nécessite que les conteneurs aient des ressources définies.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prereq**

Interdit d’associer les ressources ClusterRole et Role à l’utilisateur system:anonymous et au groupe system:unauthenticated .

deny

S/O

Exige que les images de conteneur aient une balise d'image différente de celles de la liste spécifiée.

deny

S/O

Exige que les conteneurs aient une limite de stockage éphémère définie et que la limite se situe dans les valeurs maximales spécifiées.

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • Par défaut

  • istio-system

  • gestionnaire-certificats

  • surveillance

  • flux d’air

  • prereq**

deny

S/O

Exige que les ressources Ingress soient uniquement HTTPS. Les ressources d'entrée doivent inclure l'annotation kubernetes.io/ingress.allow-http , définie sur false. Par défaut, une configuration TLS {} valide est requise. Cela peut être rendu facultatif en définissant le paramètre tlsOptional sur true.

dryrun

  • surveillance

Les images de conteneur doivent contenir un résumé.

dryrun

  • UiPath

Bloque la mise à jour du compte de service sur les ressources qui extraient les pods. Cette stratégie est ignorée en mode audit.

dryrun

S/O

deny

  • flux d’air

Les pods doivent disposer de sondes de disponibilité et/ou de vitalité.

dryrun

  • UiPath

Les classes de stockage doivent être spécifiées lors de l'utilisation.

dryrun

S/O

Nécessite que tous les hôtes de règles Ingress soient uniques.

dryrun

S/O

Nécessite que les services aient des sélecteurs uniques dans un espace de noms. Les sélecteurs sont considérés comme identiques s'ils ont des clés et des valeurs identiques. Les sélecteurs peuvent partager une paire clé/valeur tant qu’il existe au moins une paire clé/valeur distincte entre eux.

dryrun

S/O

Remarque :
  • L'espace de noms dapr-system n'est nécessaire que si vous installez Process Mining et Task Mining.
  • L'espace de noms airflow n'est nécessaire que si vous installez Process Mining.
  • prereq** sont des espaces de noms temporaires créés lors de l'exécution d'un prérequis ou d'une vérification de l'état. Les espaces de noms s'auto-suppriment une fois terminés.

Politiques de mise en réseau

Automation Suite est préconfiguré avec les stratégies réseau Kubernetes standard pour suivre le principe du moindre privilège d'accès au réseau. Vous pouvez choisir d'ignorer l'installation des stratégies réseau fournies par UiPath en ajoutant network-policies sous la liste exclude components dans input.json. Pour en savoir plus sur les composants facultatifs, consultez la pile Automation Suite.
Automation Suite applique le réseau depuis, vers et dans l'espace de noms uipath. Si vous apportez vos propres stratégies réseau ou si vous avez un CNI personnalisé (par ex., Cilium Enterprise ou Calico Tigera Enterprise), veillez à mettre à jour vos stratégies pour qu'elles reflètent le graphique Helm network-policies.
Vous pouvez trouver le graphique Helm Automation Suite network-policies en exécutant la commande suivante.
Remarque :
  • Vous devez remplacer <automation-suite-version> par votre version actuelle d'Automation Suite dans la commande suivante.
  • Vous devez décompresser le fichier pour extraire le graphique Helm.
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

Exigences en matière de privilèges de cluster

L'accès à l'administrateur de cluster est requis pour uipathctl sur votre nœud de gestion afin d'installer et de gérer Automation Suite sur votre cluster dédié. Ce niveau d'accès est nécessaire pour les composants de niveau système dans Automation Suite, tels qu'Istio (routage/service mesh) et ArgoCD (déploiement et gestion du cycle de vie des applications), et pour créer des espaces de noms liés à Automation Suite.

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.