Модуль operator-trivy

Модуль позволяет запускать регулярную проверку пользовательских образов в runtime на известные CVE, включая уязвимости Astra Linux, Redos и ALT Linux. Базируется на проекте Trivy. Для сканирования используются публичные базы уязвимостей, обогащаемые базами Astra Linux, ALT Linux и РЕД ОС.

Также модуль производит анализ соответствия кластера kubernetes требованиями CIS Kubernetes Benchmark.

Модуль выполняет сканирование в пространствах имён, которые содержат метку security-scanning.deckhouse.io/enabled="". Если в кластере отсутствуют пространства имён с указанной меткой, сканируется пространство имён default.

Как только в кластере обнаруживается пространство имён с меткой security-scanning.deckhouse.io/enabled="", сканирование пространства имён default прекращается. Чтобы снова включить сканирование для пространства имён default, необходимо установить у него метку командой:

d8 k label namespace default security-scanning.deckhouse.io/enabled=""

Условия запуска сканирования

Сканирование запускается:

• автоматически каждые 24 часа,
• при запуске компонентов с новыми образами контейнеров в пространствах имен, для которых включено сканирование (в частности, при появлении новых объектов).

Где просматривать результаты сканирования

В Grafana:

• Security/Trivy Image Vulnerability Overview — сводный обзор уязвимостей в образах и ресурсах кластера.
• Security/CIS Kubernetes Benchmark — результаты проверки соответствия кластера требованиям CIS Kubernetes Benchmark.

В ресурсах кластера:

• Отчеты о безопасности кластера:
  • ClusterComplianceReport
  • RbacAssessmentReport
• Отчеты о безопасности ресурсов кластера:
  • VulnerabilityReport — уязвимости в образах контейнеров;
  • SbomReport — состав ПО в образах (SBOM);
  • ConfigAuditReport — ошибки конфигурации Kubernetes-объектов;
  • ExposedSecretReport — утечки секретов в контейнерах.

Внешние компоненты

Список стороннего программного обеспечения, используемого в модуле operator-trivy (информация представлена на английском языке):

• Trivy Operator

  License: Apache License 2.0

  The Trivy-Operator leverages trivy security tools by incorporating their outputs into Kubernetes CRDs (Custom Resource Definitions) and from there, making security reports accessible through the Kubernetes API. This way users can find and view the risks that relate to different resources in what we call a Kubernetes-native way.