Какие отчёты есть в платформе и где они находятся
Расположение отчётов в GUI и экспорт.
Введение
В платформе «Штурвал» формируются отчёты по результатам сканирования образов на уязвимости, анализа соответствия политикам безопасности (Kyverno), проверки конфигурации кластера на соответствие CIS/NSA/PSS. Ниже указаны места в интерфейсе и возможности выгрузки.
Отчёты по уязвимостям образов (Trivy)
Отчёты по уязвимостям образов доступны:
- в интерфейсе платформы по всем кластерам (где установлен shturval-scanner);
- в интерфейсе кластера (сводная информация по всем неймспейсам кластера);
- в интерфейсе неймспейса (сводная информация по всем нагрузкам неймспейса);
- в интерфейсе нагрузки (Deployment, Pod и т.п.).
В платформе
Сводный отчёт по платформе: в разделе сводных отчётов платформы доступна страница Анализ образов кластеров — результаты сканирования образов по всем кластерам, в которых установлен shturval-scanner.
Если shturval-scanner отключён во всех кластерах платформы, страница Анализ образов кластеров не отображается в разделе сводных отчётов.
На странице отображаются результаты сканирования образов контейнеров (модуль shturval-scanner на базе Trivy): уязвимости по степени критичности (Low, Medium, High, Critical), сводка по неймспейсам. Доступны фильтрация по неймспейсам и скачивание отчёта в формате CSV (по всем неймспейсам, по одному или по настроенным фильтрам) или PDF (в разрезе одного неймспейса). Если в отчёте нет данных, при скачивании в формате CSV формируется пустой файл. Классификация критичности в Trivy: 0–2.9 Low, 3.0–6.9 Medium, 7.0–8.9 High, 9.0–10.0 Critical.
Иллюстрация: В платформе
(см. скриншот ниже).

В кластере
В интерфейсе кластера — раздел Безопасность → страница Анализ образов.
Иллюстрация: В кластере

В неймспейсе
На дашборде неймспейса — блок нагрузок (индикация уязвимостей на карточках), вкладка Безопасность (уязвимости образов и соответствие политикам при включённых модулях).
Иллюстрация: В неймспейсе

Иллюстрация: В неймспейсе

В нагрузках
На страницах нагрузок (Deployment, StatefulSet и т.д.) и подов — вкладка Безопасность с результатами сканирования образов и анализа политик (если модули установлены).

Подробнее о сканировании: Сканирование образов контейнеров.
Отчёт по политикам безопасности (Kyverno)
Отчёты по политикам безопасности доступны:
- в интерфейсе платформы по всем кластерам;
- в интерфейсе кластера;
- в интерфейсе неймспейса;
- в интерфейсе нагрузки (Deployment, Pod и т.п.).
В платформе
Сводный отчёт по платформе: в разделе сводных отчётов платформы доступна страница Отчёт по политикам безопасности — результаты анализа политик безопасности Kyverno по всем кластерам платформы. Отчёт формируется по данным shturval-policy-manager, который использует ресурсы PolicyReport и ClusterPolicyReport.
Если shturval-policy-manager отключён во всех кластерах платформы, страница Отчёт по политикам безопасности не отображается в разделе сводных отчётов.
На странице отображается количество идентифицированных несоответствий в разрезе политик и кластеров. Если в кластерах платформы есть политики с одинаковыми именами, на диаграмме количество несоответствий для каждого кластера отображается отдельно. Нажатие на имя кластера или неймспейса открывает страницу дашборда кластера или неймспейса. Если в кластерах нет отчётов по политикам безопасности, сводный отчёт не формируется. Отчёт можно скачать в формате CSV полностью или по настроенным фильтрам. Если в отчёте нет данных, при скачивании в формате CSV формируется пустой файл. Имя скачиваемого CSV-файла: Report on violated policies.
Иллюстрация: В платформе
(см. скриншот ниже).

В кластере
В интерфейсе кластера — раздел Безопасность → страница Отчёт по политикам безопасности.
На странице представлены результаты анализа объектов на соответствие политикам Kyverno: в разрезе политик и в разрезе неймспейсов. В таблице отчёта отображаются нарушенные политики: название политики, неймспейс, тип, критичность, количество объектов и подов, описание и дата создания отчёта. Доступна фильтрация по системным или пользовательским неймспейсам. Отчёт можно скачать в формате CSV или PDF. Если в отчёте нет данных, при скачивании в формате CSV формируется пустой файл. Имя скачиваемого CSV-файла: Report on violated policies.
Иллюстрация: В кластере

Иллюстрация: В кластере
(см. скриншот ниже).

В неймспейсе
На дашборде неймспейса — вкладка Безопасность с результатами анализа на соответствие политикам безопасности по объектам неймспейса. Вкладка отображается, если в кластере установлен shturval-policy-manager и у пользователя есть права на просмотр результатов анализа.
Иллюстрация: В неймспейсе

В нагрузках
На страницах нагрузок (Deployment, StatefulSet, DaemonSet, ReplicaSet, Job, CronJob) и подов — вкладка Безопасность с результатами анализа на соответствие политикам безопасности, если в кластере установлен shturval-policy-manager.

Подробнее: Kyverno: запрет latest-тегов, требование лимитов.
Результаты сканирования (CIS Benchmark, Compliance)
Отчёты по результатам сканирования конфигурации кластера доступны:
- в интерфейсе кластера.
В кластере
В интерфейсе кластера — раздел Безопасность → страница Результаты сканирования.
На странице отображаются отчёты Trivy ClusterComplianceReports, которые формирует shturval-scanner: соответствие кластера стандартам CIS Kubernetes Benchmark, руководству NSA по безопасности Kubernetes, Pod Security Standards (Baseline, Restricted).
На странице доступны сводная информация по кластеру и распределение результатов по отчётам. Детальные результаты сгруппированы по видам отчётов на вкладках k8s-cis-1.23, k8s-nsa-1.0, k8s-pss-baseline-0.1, k8s-pss-restricted-0.1. Для каждой проверки указаны тип проверки, критичность и результат (Pass/Fail). При статусе Fail можно открыть строку проверки и посмотреть рекомендации по доработке. Доступна фильтрация по типу проверки, ID и критичности.
Отчёт можно скачать в формате CSV или PDF (см. скриншот ниже).


Детальный отчёт по умолчанию создаётся по расписанию (например, каждые 6 часов). Сразу после развёртывания кластера отчёт появляется после первого полного сканирования по расписанию. Для отображения детальной информации в GUI у shturval-scanner должен быть установлен режим отчёта reportType: all; при summary детали в интерфейсе платформы не отображаются.
Подробнее: Сканирование хостов и платформы (CIS Benchmarks).