Доступно в редакциях: EE, CSE Lite (1.73), CSE Pro (1.73)
Стадия жизненного цикла модуля: General Availability
У модуля есть требования для установки
Модуль позволяет запускать регулярную проверку пользовательских образов в runtime на известные CVE, включая уязвимости Astra Linux, Redos и ALT Linux. Базируется на проекте Trivy. Для сканирования используются публичные базы уязвимостей, обогащаемые базами Astra Linux, ALT Linux и РЕД ОС.
Также модуль производит анализ соответствия кластера Kubernetes требованиям CIS Kubernetes Benchmark.
Основные возможности
- Автоматическое CVE-сканирование образов контейнеров в помеченных пространствах имён каждые 24 часа.
- Обогащение базы уязвимостей данными Astra Linux, ALT Linux и РЕД ОС.
- Анализ соответствия кластера требованиям CIS Kubernetes Benchmark с сохранением результатов в
ClusterComplianceReport. - Генерация SBOM для всех сканируемых образов контейнеров (
SbomReport). - Сканирование файловой системы узлов для обнаружения уязвимостей ОС (
NodeVulnerabilityReport). - Обнаружение утечек секретов в образах контейнеров (
ExposedSecretReport). - Метрики и дашборды Grafana по результатам сканирования уязвимостей и проверкам соответствия.
Модуль выполняет сканирование в пространствах имён, которые содержат метку security-scanning.deckhouse.io/enabled="".
Если в кластере отсутствуют пространства имён с указанной меткой, сканируется пространство имён default.
Как только в кластере обнаруживается пространство имён с меткой security-scanning.deckhouse.io/enabled="", сканирование пространства имён default прекращается.
Чтобы снова включить сканирование для пространства имён default, необходимо установить у него метку командой:
d8 k label namespace default security-scanning.deckhouse.io/enabled=""Условия запуска сканирования
Сканирование запускается:
- автоматически каждые 24 часа,
- при запуске компонентов с новыми образами контейнеров в пространствах имен, для которых включено сканирование (в частности, при появлении новых объектов).
Где просматривать результаты сканирования
В Grafana:
Security/Trivy Image Vulnerability Overview— сводный обзор уязвимостей в образах и ресурсах кластера.Security/CIS Kubernetes Benchmark— результаты проверки соответствия кластера требованиям CIS Kubernetes Benchmark.
В ресурсах кластера:
- Отчеты о безопасности кластера:
- Отчеты о безопасности ресурсов кластера:
VulnerabilityReport— уязвимости в образах контейнеров;SbomReport— состав ПО в образах (SBOM);ConfigAuditReport— ошибки конфигурации Kubernetes-объектов;ExposedSecretReport— утечки секретов в контейнерах.