Сканирование хостов и платформы (CIS Benchmarks)
ClusterComplianceReports, отчёты CIS, NSA, PSS.
Введение
Проверка конфигурации кластера на соответствие стандартам безопасности выполняется с помощью Trivy. В платформе за сканирование отвечает модуль сканирования образов контейнеров (shturval-scanner). Результаты отображаются в виде ClusterComplianceReports на странице Безопасность → Результаты сканирования в интерфейсе кластера.
Trivy проверяет, соответствует ли конфигурация кластера рекомендациям по безопасности Kubernetes. По умолчанию детальный отчёт создаётся по расписанию каждые 6 часов. Сразу после развёртывания кластера отчёт появляется после первого полного сканирования по расписанию.
Типы отчётов
На странице Результаты сканирования отображаются:
- Сводная информация по кластеру — результаты прохождения проверок по всем типам отчётов (диаграммы).
- Сводная информация о результатах проверок — распределение по отчётам.

- Детальные результаты по видам отчётов (вкладки):
- k8s-cis-1.23 — соответствие CIS Kubernetes Benchmark.
- k8s-nsa-1.0 — соответствие руководству по безопасности Kubernetes от NSA (NSA/CISA).
- k8s-pss-baseline-0.1 — Pod Security Standards (Baseline).
- k8s-pss-restricted-0.1 — Pod Security Standards (Restricted).

Для каждой проверки отображаются: тип проверки, критичность, результат (Pass/Fail). При статусе Fail доступны рекомендации по доработке (при клике на строку). Доступна фильтрация по типу проверки, ID проверки и критичности.
Что охватывает CIS Kubernetes Benchmark
Стандарт содержит рекомендации по настройке Kubernetes, в том числе:
- Настройка аутентификации и авторизации.
- Запрет неуправляемых образов контейнеров.
- Ограничение привилегий контейнеров для снижения риска эксплуатации.
- Доступ к API Kubernetes только по защищённым протоколам.
- Ограничение доступа к API по принципу наименьших привилегий (роли и права).
- Ограничение доступа к хранилищу данных только для пользователей с нужными правами.
Настройка расписания сканирования
Расписание формирования ClusterComplianceReports (по умолчанию — каждые 6 часов) задаётся в спецификации модуля сканирования образов контейнеров (Trivy). Изменение выполняется через ShturvalServicePatch для shturval-scanner: в customvalues задаётся параметр compliance.cron с выражением расписания. Для отображения детальной информации в GUI должен быть установлен режим отчёта reportType: all (при summary детали в интерфейсе платформы не отображаются). Подробности параметров — в документации по настройке сервиса shturval-scanner.
Дополнительно
- Trivy — сканер уязвимостей и мисконфигураций.
- Какие отчёты есть в платформе и где они находятся.