Безопасность

Модуль управления TLS-сертификатами (Cert Manager)

Модуль управления TLS-сертификатами является контроллером сертификатов TLS (Transport Layer Security) приложений и компонентов в кластере Комплекса. В основе модуля используется Cert Manager. Модуль обеспечивает:

• создание и обновление сертификатов;
• продление сертификатов до истечения срока их действия;
• отзыв сертификатов.

Модуль является критически важным сервисом для работы Комплекса (недоступен для отключения), устанавливается по умолчанию в кластер управления и клиентские кластеры.

Для просмотра состояния сервиса в кластере нужно перейти на страницу "Установленные сервисы" раздела "Сервисы и репозитории", найти "Модуль управления TLS-сертификатами" (shturval-cert-manager) и нажать Управлять.

Для корректной работы сервиса в кластере должен быть установлен и включен "Компонент создания ресурсов для модуля управления TLS-сертификатами" (shturval-cert-manager-crds).

Для отслеживания сроков действия сертификатов API Kubernetes в Комплексе поставляется "Модуль проверки сертификатов" (п. Группа x509-certificate-exporter.rules).

Модуль анализа конфигураций приложений (Kyverno)

Модуль анализа конфигураций приложений на основе Kyverno предназначен для анализа ресурсов кластера на соответствие настроенным политикам.

Модуль поддерживает несколько типов политик:

• Generate ‒ Политика добавляет в создаваемый ресурс необходимые данные/конфигурации.
• Mutate ‒ Политика изменяет создаваемый ресурс.
• Validate ‒ Политика проверяет создаваемый ресурс.

С перечнем рекомендуемых политик для установки в кластер можно ознакомиться на странице "Политики безопасности" (п. Политики безопасности).

Для установки и настройки модуля в интерфейсе кластера Комплекса в боковом меню следует открыть раздел "Сервисы и репозитории" и перейти на страницу "Установленные сервисы".

Далее нужно найти модуль анализа конфигураций приложений. Если модуль не отображается, в боковом меню, необходимо открыть раздел "Сервисы и репозитории", перейти на страницу "Доступные чарты", найти чарт "shturval-policy-manager" и нажать Установить.

С дополнительной информацией можно ознакомиться на официальном сайте. В текущем релизе используется Kyverno версии 1.13.3.

Модуль сканирования образов контейнеров (Trivy)

В этом разделе описывается настройка сканера уязвимостей Trivy.

Trivy ‒ это инструмент сканирования уязвимостей для контейнерных образов и файловой системы, используемый при разработке и эксплуатации приложений на платформе Docker. Он служит для обнаружения уязвимостей в зависимостях и пакетах, используемых в контейнерах.

В кластере Trivy обеспечивает автоматизированный процесс сканирования и формирования отчетности для своевременного обнаружения возможных уязвимостей:

• в образах контейнеров (подробнее ‒ на странице "Анализ образов" (п. Анализ образов)).
• в конфигурации кластера (подробнее ‒ на странице "Результаты сканирования" (п. Результаты сканирования)).

Для настройки сканера уязвимостей Trivy нужно в графическом интерфейсе кластера в боковом меню открыть раздел "Сервисы и репозитории", перейти на страницу "Установленные сервисы", найти "Модуль сканирования образов контейнеров" (shturval-scanner).

Если в кластере такой сервис отсутствует, необходимо в боковом меню открыть раздел "Сервисы и репозитории" и перейти на страницу "Доступные чарты", затем на вкладке "shturval" выбрать чарт shturval-scanner и нажать Установить.

Далее требуется выбрать необходимую версию чарта. После выбора версии чарта в правой части экрана отобразятся доступные "Параметры конфигурации для сервиса (values)". Следует прописать в блоке "Спецификация сервиса" необходимые параметры в качестве customvalues.

Чтобы задать желаемый интервал для перезапуска сканирования, в блоке "Спецификация сервиса" нужно указать время для параметра scanJobTTL:

Пример customvalues (описание параметров ‒ в таблице 34):

operator:
scanJobTTL: <ваше значение параметра>
scannerReportTTL: <ваше значение параметра>

Отчеты ClusterComplianceReports могут быть сформированы в общем или расширенном формате. Чтобы информация о проверках была доступна в графическом интерфейсе Комплекса, в Trivy настроена детализация отчета reportType:all. Если в reportType указать summary, в графическом интерфейсе не будет отображаться информация по отчетам.

Для отчетов вида ClusterComplianceReports по умолчанию настроено сканирование раз в 6 часов. Чтобы изменить период сканирования, следует использовать параметр cron (описание параметров customvalues ‒ в таблице 35):

compliance:
cron: <ваше значение параметра>

Далее необходимо нажать Сохранить для применения спецификации.

Для настройки сканирования образов из локального репозитория, в случае использования SSL сертификата, выпущенного непубличным УЦ, например, корпоративным или самоподписным, необходимо указать следующие параметры (описание параметров customvalues ‒ в таблице 36):

trivy:
insecureRegistries:
nameOfRegistry: <ваше значение параметра>

Пример customvalues для кластера, установленного из зеркала в закрытом контуре:

operator:
scanJobTTL: "30m"
scannerReportTTL: "1h"
trivy:
dbRepository: stm-mirror.corp.domain:443/trivy-db
dbRepositoryInsecure: true
insecureRegistries:
mainShturvalRegistry: r.shturval.tech
mirrorShturvalRegistry: stm-mirror.corp.domain:443
mirrorShturvalNexus: nexus.corp.domain
registry:
mirror:
r.shturval.tech: stm-mirror.corp.domain:44

С дополнительной информацией можно ознакомиться на сайте Trivy и сайте Trivy Operator. В текущем релизе используется Trivy версии 0.59.1 и Trivy Operator версии 0.23.0.