Результаты сканирования

Развернуть все Свернуть все

На странице Результаты сканирования представлено визуальное отображение результатов анализа конфигурации кластера с помощью Trivy.

Trivy проверяет, соответствует ли кластер стандартам безопасности на базе Kubernetes.

По умолчанию детальный Compliance отчет создается каждые 6 часов в сутки согласно cron. Расписание можно изменить в спецификации модуля сканирования образов контейнеров (Trivy). Сразу после развертывания кластера детальный отчет не запускается и становится доступным при первом полном запуске согласно расписанию.

На странице отображаются диаграммы и информация по отчетам Trivy (ClusterComplianceReports):

• Сводная информация по кластеру. На диаграмме отражены результаты прохождения проверок по всем типам отчетов;
• Сводная информация о результатах пройденных проверок. НА диаграмме отражены результаты прохождения проверок, распределенные по отчетам;
• Подробная информация о результатах проверок по отчетам Trivy. Для каждого вида отчета предусмотрена отдельная вкладка:
  • k8s-cis-1.23 - отчет о результатах проверок на соответствии стандарту CIS Kubernetes Benchmark. Стандарт представляет набор рекомендаций по созданию надежной системы безопасности для ПО на базе Kubernetes;
  • k8s-nsa-1.0 - отчет о результатах проверок на соответствии руководству по безопасности Kubernetes от NSA (National Security Agency).
  • k8s-pss-baseline-0.1 отчет о результатах проверок на соответствие базовой (Baseline) политике стандарта безопасности подов Kubernetes.
  • k8s-pss-restricted-0.1 отчет о результатах проверок на соответствие ограниченной (Restricted) политике стандарта безопасности подов Kubernetes.

На вкладке отчета для каждой проверки представлена информация о:

• Типе проверки;
• Критичности типа проверки;
• ID проверки;
• Критичности проверки;
• Результате проверки. В случаях, когда по результатам проверки обнаружено несоответствие конфигурации, будет отображен статус Fail. Вы можете посмотреть рекомендации по доработке, нажав на строчку проверки.

В отчетах доступна фильтрация по:

• Типу проверки;
• Критичности типа проверки;
• ID проверки;
• Критичности проверки.

При первичном развертывании кластера данные отчета появляются с временным лагом (по завершении первичного сканирования).

Обратите внимание! ID проверки и критичность проверки отображаются только в случае, если проверка не пройдена.

Стандарты CIS Kubernetes Benchmark содержат рекомендации по настройке Kubernetes, некоторые из которых включают в себя следующее:

1. Настройка аутентификации и авторизации в Kubernetes.
2. Запретить использование неуправляемых образов контейнеров.
3. Ограничить использование привилегий контейнеров для уменьшения возможностей для эксплойта атак на уровне системы.
4. Обеспечить доступ к Kubernetes API только через безопасные протоколы связи.
5. Ограничить доступ к Kubernetes API только через требуемые роли и разрешения.
6. Ограничить использование хранилища данных в Kubernetes только тех пользователей, которые имеют нужные права доступа.