wiki.unix7.org

Trivy (произношение) — это комплексный и универсальный сканер безопасности. Trivy имеет сканеры, которые ищут проблемы безопасности, и цели, где он может их найти.

Цели (которые может сканировать Trivy):

1. Изображение контейнера
2. Файловая система
3. Репозиторий Git (удалённый)
4. Образ виртуальной машины
5. Кубернетес
6. АВС

Сканеры (то, что Trivy может там найти):

1. Используемые пакеты ОС и программные зависимости (SBOM)
2. Известные уязвимости (CVE)
3. Проблемы IaC и неправильные конфигурации
4. Конфиденциальная информация и секреты
5. Лицензии на программное обеспечение

Сканирование безопасности внутри кластера

Trivy Operator автоматически генерирует и обновляет отчеты по безопасности. Эти отчеты генерируются в ответ на новую рабочую нагрузку и другие изменения в кластере Kubernetes, генерируя следующие отчеты:

1. * Сканирование уязвимостей: автоматизированное сканирование уязвимостей для рабочих нагрузок Kubernetes.
2. * Сканирование ConfigAudit: автоматизированный аудит конфигурации ресурсов Kubernetes с предопределенными правилами или настраиваемыми политиками Open Policy Agent (OPA).
3. * Сканирование раскрытых секретов: автоматизированное сканирование секретов, которое находит и детализирует местоположение раскрытых секретов в вашем кластере.
4. * Сканирование RBAC: сканирование контроля доступа на основе ролей предоставляет подробную информацию о правах доступа различных установленных ресурсов.
5. * Оценка инфраструктуры основных компонентов K8s, сканирование, настройка и конфигурация основных компонентов инфраструктуры Kubernetes (etcd, apiserver, scheduler, controller-manager и т. д.).
6. * Проверка устаревшего API K8S — проверка configaudit выявит, устарел ли API ресурса и планируется ли его удаление.
7. * Отчеты о соответствии
8. * Подготовлен технический отчет по кибербезопасности NSA, CISA Kubernetes Hardening Guidance v1.1.
9. * Подготовлен технический отчет по кибербезопасности CIS Kubernetes Benchmark v1.23.
10. * Kubernetes pss-baseline, Стандарты безопасности Pod
11. * Kubernetes pss-restricted, Стандарты безопасности Pod
12. * SBOM (поколения спецификации программного обеспечения) для рабочих нагрузок Kubernetes

Kyverno (греч. «управлять») — это движок политик, разработанный специально для Kubernetes. Некоторые из его многочисленных функций включают:

• политики как ресурсы Kubernetes (не нужно изучать новый язык!)
• проверять, изменять, генерировать или очищать (удалять) любые ресурсы
• проверка образов контейнеров для обеспечения безопасности цепочки поставок программного обеспечения
• проверить метаданные изображения
• сопоставьте ресурсы, используя селекторы меток и подстановочные знаки
• проверять и изменять с помощью наложений (например, Kustomize!)
• синхронизировать конфигурации по пространствам имен
• блокируйте несоответствующие ресурсы с помощью контроля доступа или сообщайте о нарушениях политики
• отчеты для самостоятельного обслуживания (никакого собственного журнала аудита!)
• исключения из политики самообслуживания
• тестируйте политики и проверяйте ресурсы с помощью Kyverno CLI в конвейере CI/CD перед применением к кластеру
• управлять политиками как кодом, используя знакомые инструменты, такие как git и kustomize

Kyverno позволяет администраторам кластера управлять конфигурациями, специфичными для среды, независимо от конфигураций рабочей нагрузки и применять лучшие практики конфигурации для своих кластеров. Kyverno можно использовать для сканирования существующих рабочих нагрузок на предмет лучших практик или для применения лучших практик путем блокировки или изменения запросов API .