Доступно в редакциях: EE, CSE Lite (1.73), CSE Pro (1.73)
Стадия жизненного цикла модуля: General Availability
У модуля есть требования для установки
Модуль позволяет запускать регулярную проверку пользовательских образов в runtime на известные CVE, включая уязвимости Astra Linux, RedOS и ALT Linux. Базируется на проекте Trivy. Для сканирования используются публичные базы уязвимостей, обогащаемые базами Astra Linux, ALT Linux и РЕД ОС.
Также модуль производит анализ соответствия кластера Kubernetes требованиям CIS Kubernetes Benchmark.
Основные возможности
- Автоматическое CVE-сканирование образов контейнеров в помеченных неймспейсах каждые 24 часа.
- Анализ соответствия кластера требованиям CIS Kubernetes Benchmark с сохранением результатов в ClusterComplianceReport.
- Генерация SBOM для всех сканируемых образов контейнеров (SbomReport).
- Сканирование файловой системы узлов для обнаружения уязвимостей ОС (NodeVulnerabilityReport).
- Обнаружение утечек секретов в образах контейнеров (ExposedSecretReport).
- Метрики и дашборды Grafana по результатам сканирования уязвимостей и проверкам соответствия.
Подробнее о механизме сканирования, отчётах VulnerabilityReport и SbomReport, блокировке уязвимых образов и базах данных CVE можно почитать в разделе «Сканирование на уязвимости».
Модуль выполняет сканирование в неймспейсах с лейблом security-scanning.deckhouse.io/enabled="".
Если в кластере отсутствуют неймспейсы с указанным лейблом, сканируется неймспейс default.
Как только в кластере обнаруживается неймспейс с лейблом security-scanning.deckhouse.io/enabled="", сканирование неймспейса default прекращается.
Чтобы снова включить сканирование для неймспейса default, необходимо установить у него лейбл командой:
d8 k label namespace default security-scanning.deckhouse.io/enabled=""Условия запуска сканирования
Сканирование запускается:
- автоматически каждые 24 часа,
- при развёртывании компонентов, использующих новые образы, в неймспейсах, для которых включено сканирование.
Где просматривать результаты сканирования
В Grafana:
Security/Trivy Image Vulnerability Overview— сводный обзор уязвимостей в образах и ресурсах кластера.Security/CIS Kubernetes Benchmark— результаты проверки соответствия кластера требованиям CIS Kubernetes Benchmark.
В ресурсах кластера:
-
Отчёты о безопасности кластера:
-
Отчёты о безопасности ресурсов кластера:
- VulnerabilityReport — уязвимости в образах контейнеров;
- SbomReport — состав ПО в образах (SBOM);
- ConfigAuditReport — ошибки конфигурации Kubernetes-объектов;
- ExposedSecretReport — утечки секретов в контейнерах.