Какие отчёты есть в платформе и где они находятся

Расположение отчётов в GUI и экспорт.

Введение

В платформе «Штурвал» формируются отчёты по результатам сканирования образов на уязвимости, анализа соответствия политикам безопасности (Kyverno), проверки конфигурации кластера на соответствие CIS/NSA/PSS. Ниже указаны места в интерфейсе и возможности выгрузки.


Отчёты по уязвимостям образов (Trivy)

Отчёты по уязвимостям образов доступны:

  • в интерфейсе платформы по всем кластерам (где установлен shturval-scanner);
  • в интерфейсе кластера (сводная информация по всем неймспейсам кластера);
  • в интерфейсе неймспейса (сводная информация по всем нагрузкам неймспейса);
  • в интерфейсе нагрузки (Deployment, Pod и т.п.).

В платформе

Сводный отчёт по платформе: в разделе сводных отчётов платформы доступна страница Анализ образов кластеров — результаты сканирования образов по всем кластерам, в которых установлен shturval-scanner.

Если shturval-scanner отключён во всех кластерах платформы, страница Анализ образов кластеров не отображается в разделе сводных отчётов.

На странице отображаются результаты сканирования образов контейнеров (модуль shturval-scanner на базе Trivy): уязвимости по степени критичности (Low, Medium, High, Critical), сводка по неймспейсам. Доступны фильтрация по неймспейсам и скачивание отчёта в формате CSV (по всем неймспейсам, по одному или по настроенным фильтрам) или PDF (в разрезе одного неймспейса). Если в отчёте нет данных, при скачивании в формате CSV формируется пустой файл. Классификация критичности в Trivy: 0–2.9 Low, 3.0–6.9 Medium, 7.0–8.9 High, 9.0–10.0 Critical.

Иллюстрация: В платформе (см. скриншот ниже).

Сводный отчёт по анализу образов кластеров

Детальная информация об уязвимости

В кластере

В интерфейсе кластера — раздел Безопасность → страница Анализ образов.

Иллюстрация: В кластере

Отчет в интерфейсе кластера

В неймспейсе

На дашборде неймспейса — блок нагрузок (индикация уязвимостей на карточках), вкладка Безопасность (уязвимости образов и соответствие политикам при включённых модулях).

Иллюстрация: В неймспейсе

Срабатывание в интерфейсе неймспейса

Иллюстрация: В неймспейсе

Отчет в интерфейсе неймспейса

В нагрузках

На страницах нагрузок (Deployment, StatefulSet и т.д.) и подов — вкладка Безопасность с результатами сканирования образов и анализа политик (если модули установлены).

Отчет в интерфейсе нагрузки

Подробнее о сканировании: Сканирование образов контейнеров.


Отчёт по политикам безопасности (Kyverno)

Отчёты по политикам безопасности доступны:

  • в интерфейсе платформы по всем кластерам;
  • в интерфейсе кластера;
  • в интерфейсе неймспейса;
  • в интерфейсе нагрузки (Deployment, Pod и т.п.).

В платформе

Сводный отчёт по платформе: в разделе сводных отчётов платформы доступна страница Отчёт по политикам безопасности — результаты анализа политик безопасности Kyverno по всем кластерам платформы. Отчёт формируется по данным shturval-policy-manager, который использует ресурсы PolicyReport и ClusterPolicyReport.

Если shturval-policy-manager отключён во всех кластерах платформы, страница Отчёт по политикам безопасности не отображается в разделе сводных отчётов.

На странице отображается количество идентифицированных несоответствий в разрезе политик и кластеров. Если в кластерах платформы есть политики с одинаковыми именами, на диаграмме количество несоответствий для каждого кластера отображается отдельно. Нажатие на имя кластера или неймспейса открывает страницу дашборда кластера или неймспейса. Если в кластерах нет отчётов по политикам безопасности, сводный отчёт не формируется. Отчёт можно скачать в формате CSV полностью или по настроенным фильтрам. Если в отчёте нет данных, при скачивании в формате CSV формируется пустой файл. Имя скачиваемого CSV-файла: Report on violated policies.

Иллюстрация: В платформе (см. скриншот ниже).

Сводный отчёт по политикам безопасности в разрезе политик

Сводный отчёт по политикам безопасности в разрезе кластеров

В кластере

В интерфейсе кластера — раздел Безопасность → страница Отчёт по политикам безопасности.

На странице представлены результаты анализа объектов на соответствие политикам Kyverno: в разрезе политик и в разрезе неймспейсов. В таблице отчёта отображаются нарушенные политики: название политики, неймспейс, тип, критичность, количество объектов и подов, описание и дата создания отчёта. Доступна фильтрация по системным или пользовательским неймспейсам. Отчёт можно скачать в формате CSV или PDF. Если в отчёте нет данных, при скачивании в формате CSV формируется пустой файл. Имя скачиваемого CSV-файла: Report on violated policies.

Иллюстрация: В кластере

Отчёт по политикам безопасности в разрезе политик

Иллюстрация: В кластере (см. скриншот ниже).

Отчёт по политикам безопасности в разрезе неймспейсов

Фильтрация отчёта по политикам безопасности по неймспейсам

В неймспейсе

На дашборде неймспейса — вкладка Безопасность с результатами анализа на соответствие политикам безопасности по объектам неймспейса. Вкладка отображается, если в кластере установлен shturval-policy-manager и у пользователя есть права на просмотр результатов анализа.

Иллюстрация: В неймспейсе

Вкладка «Безопасность» на дашборде неймспейса

В нагрузках

На страницах нагрузок (Deployment, StatefulSet, DaemonSet, ReplicaSet, Job, CronJob) и подов — вкладка Безопасность с результатами анализа на соответствие политикам безопасности, если в кластере установлен shturval-policy-manager.

Вкладка «Безопасность» на странице нагрузки

Подробнее: Kyverno: запрет latest-тегов, требование лимитов.


Результаты сканирования (CIS Benchmark, Compliance)

Отчёты по результатам сканирования конфигурации кластера доступны:

  • в интерфейсе кластера.

В кластере

В интерфейсе кластера — раздел Безопасность → страница Результаты сканирования.

На странице отображаются отчёты Trivy ClusterComplianceReports, которые формирует shturval-scanner: соответствие кластера стандартам CIS Kubernetes Benchmark, руководству NSA по безопасности Kubernetes, Pod Security Standards (Baseline, Restricted).

На странице доступны сводная информация по кластеру и распределение результатов по отчётам. Детальные результаты сгруппированы по видам отчётов на вкладках k8s-cis-1.23, k8s-nsa-1.0, k8s-pss-baseline-0.1, k8s-pss-restricted-0.1. Для каждой проверки указаны тип проверки, критичность и результат (Pass/Fail). При статусе Fail можно открыть строку проверки и посмотреть рекомендации по доработке. Доступна фильтрация по типу проверки, ID и критичности.

Отчёт можно скачать в формате CSV или PDF (см. скриншот ниже).

Сводная информация о результатах пройденных проверок

Подробная информация о результатах проверок по отчетам Trivy

Детальный отчёт по умолчанию создаётся по расписанию (например, каждые 6 часов). Сразу после развёртывания кластера отчёт появляется после первого полного сканирования по расписанию. Для отображения детальной информации в GUI у shturval-scanner должен быть установлен режим отчёта reportType: all; при summary детали в интерфейсе платформы не отображаются.

Подробнее: Сканирование хостов и платформы (CIS Benchmarks).