Сканирование хостов и платформы (CIS Benchmarks)

ClusterComplianceReports, отчёты CIS, NSA, PSS.

Введение

Проверка конфигурации кластера на соответствие стандартам безопасности выполняется с помощью Trivy. В платформе за сканирование отвечает модуль сканирования образов контейнеров (shturval-scanner). Результаты отображаются в виде ClusterComplianceReports на странице БезопасностьРезультаты сканирования в интерфейсе кластера.

Trivy проверяет, соответствует ли конфигурация кластера рекомендациям по безопасности Kubernetes. По умолчанию детальный отчёт создаётся по расписанию каждые 6 часов. Сразу после развёртывания кластера отчёт появляется после первого полного сканирования по расписанию.


Типы отчётов

На странице Результаты сканирования отображаются:

  • Сводная информация по кластеру — результаты прохождения проверок по всем типам отчётов (диаграммы).
  • Сводная информация о результатах проверок — распределение по отчётам.

Сводная информация по результатам сканирования

Детальные результаты проверок по отчётам Trivy

Для каждой проверки отображаются: тип проверки, критичность, результат (Pass/Fail). При статусе Fail доступны рекомендации по доработке (при клике на строку). Доступна фильтрация по типу проверки, ID проверки и критичности.

Обратите внимание! ID проверки показывается для непройденных проверок; для пройденных отображается прочерк.

Что охватывает CIS Kubernetes Benchmark

Стандарт содержит рекомендации по настройке Kubernetes, в том числе:

  1. Настройка аутентификации и авторизации.
  2. Запрет неуправляемых образов контейнеров.
  3. Ограничение привилегий контейнеров для снижения риска эксплуатации.
  4. Доступ к API Kubernetes только по защищённым протоколам.
  5. Ограничение доступа к API по принципу наименьших привилегий (роли и права).
  6. Ограничение доступа к хранилищу данных только для пользователей с нужными правами.

Настройка расписания сканирования

Расписание формирования ClusterComplianceReports (по умолчанию — каждые 6 часов) задаётся в спецификации модуля сканирования образов контейнеров (Trivy). Изменение выполняется через ShturvalServicePatch для shturval-scanner: в customvalues задаётся параметр compliance.cron с выражением расписания. Для отображения детальной информации в GUI должен быть установлен режим отчёта reportType: all (при summary детали в интерфейсе платформы не отображаются). Подробности параметров — в документации по настройке сервиса shturval-scanner.


Дополнительно