База знаний
Войти

Результаты сканирования

На странице "Результаты сканирования" показывается визуальное отображение результатов анализа конфигурации кластера с помощью Trivy (рисунок 375).

Рисунок 375 ‒ Страница "Результаты сканирования"

Trivy проверяет, соответствует ли кластер стандартам безопасности на базе Kubernetes.

По умолчанию детальный Compliance-отчет создается каждые 6 часов в сутки согласно cron. Расписание можно изменить в спецификации "Модуля сканирования образов контейнеров" (Trivy) (п. Модуль сканирования образов контейнеров (Trivy)). Сразу после развертывания кластера детальный отчет не запускается и становится доступным при первом полном запуске согласно расписанию.

На странице отображаются диаграммы и информация по отчетам Trivy (ClusterComplianceReports):

  • Сводная информация по кластеру. На диаграмме отражены результаты прохождения проверок по всем типам отчетов;
  • Сводная информация о результатах пройденных проверок. На диаграмме отражены результаты прохождения проверок, распределенные по отчетам;
  • Подробная информация о результатах проверок по отчетам Trivy. Для каждого вида отчета предусмотрена отдельная вкладка:
    • k8s-cis-1.23 ‒ отчет о результатах проверок на соответствии стандарту CIS Kubernetes Benchmark. Стандарт представляет набор рекомендаций по созданию надежной системы безопасности для ПО на базе Kubernetes;
    • k8s-nsa-1.0 ‒ отчет о результатах проверок на соответствии руководству по безопасности Kubernetes от NSA (National Security Agency);
    • k8s-pss-baseline-0.1 ‒ отчет о результатах проверок на соответствие базовой (Baseline) политике стандарта безопасности подов Kubernetes;
    • k8s-pss-restricted-0.1 ‒ отчет о результатах проверок на соответствие ограниченной (Restricted) политике стандарта безопасности подов Kubernetes.

На вкладке отчета (рисунок 376) для каждой проверки представлена информация о:

  • Типе проверки;
  • Критичности типа проверки;
  • ID проверки;
  • Критичности проверки;
  • Результате проверки. В случаях, когда по результатам проверки обнаружено несоответствие конфигурации, будет отображен статус Fail. Можно посмотреть рекомендации по доработке, нажав на строчку проверки.

В отчетах доступна фильтрация по:

  • Типу проверки;
  • Критичности типа проверки;
  • ID проверки;
  • Критичности проверки.

При первичном развертывании кластера данные отчета появляются с временным лагом (по завершении первичного сканирования).

Рисунок 376 ‒ Вкладка отчета

Следует обратить внимание, что ID проверки и критичность проверки отображаются только в случае, если проверка не пройдена.

Стандарты CIS Kubernetes Benchmark содержат рекомендации по настройке Kubernetes, некоторые из которых включают в себя следующее:

  • Настройка аутентификации и авторизации в Kubernetes.
  • Запретить использование неуправляемых образов контейнеров.
  • Ограничить использование привилегий контейнеров для уменьшения возможностей для эксплойта атак на уровне системы.
  • Обеспечить доступ к Kubernetes API только через безопасные протоколы связи.
  • Ограничить доступ к Kubernetes API только через требуемые роли и разрешения.
  • Ограничить использование хранилища данных в Kubernetes только тех пользователей, которые имеют нужные права доступа.