Доступно в редакциях: EE, CSE Lite (1.67), CSE Pro (1.67)
Экспериментальная версия. Функциональность может сильно измениться. Совместимость с будущими версиями не гарантируется.
Модуль позволяет запускать регулярную проверку пользовательских образов в runtime на известные CVE, включая уязвимости Astra Linux, Redos и ALT Linux. Базируется на проекте Trivy. Для сканирования используются публичные базы уязвимостей, обогащаемые базами Astra Linux, ALT Linux и РЕД ОС.
Также модуль производит анализ соответствия кластера kubernetes требованиями CIS Kubernetes Benchmark.
Модуль каждые 24 часа выполняет сканирование в пространствах имён, которые содержат метку security-scanning.deckhouse.io/enabled="".
Если в кластере отсутствуют пространства имён с указанной меткой, сканируется пространство имён default.
Как только в кластере обнаруживается пространство имён с меткой security-scanning.deckhouse.io/enabled="", сканирование пространства имён default прекращается.
Чтобы снова включить сканирование для пространства имён default, необходимо установить у него метку командой:
kubectl label namespace default security-scanning.deckhouse.io/enabled=""
Где просматривать результаты сканирования
В Grafana:
Security/Trivy Image Vulnerability Overview— сводный обзор уязвимостей в образах и ресурсах кластера.Security/CIS Kubernetes Benchmark— результаты проверки соответствия кластера требованиям CIS Kubernetes Benchmark.
В ресурсах кластера:
- Отчеты о безопасности кластера:
- Отчеты о безопасности ресурсов кластера:
VulnerabilityReport— уязвимости в образах контейнеров;SbomReport— состав ПО в образах (SBOM);ConfigAuditReport— ошибки конфигурации Kubernetes-объектов;ExposedSecretReport— утечки секретов в контейнерах.