用Kubescape Docker扩展保护你的Kubernetes集群

2023-02-28 09:45:00
朱美玲
转贴:
docker.com
1722
摘要:Kubescape提供了一个自助式的、简单且易于操作的安全解决方案,满足开发人员所在的环境:Docker Desktop。

容器在企业中的应用持续增长,而Kubernetes已经成为部署和操作容器化应用的事实标准。同时,安全问题正在向左转移,应该在软件开发生命周期(SDLC)中更早地解决。安全已经从开发过程最后的静态关卡转变为(理想情况下)每一步需要注意的事情。这有可能会增加工程和DevOps团队的工作量。

Kubescape是一个最初由ARMO创建的CNCF项目,旨在解决上述问题。Kubescape提供了一个自助式的、简单且易于操作的安全解决方案,满足开发人员所在的环境:Docker Desktop。


Kubescape 是什么?


Kubescape是一个开源的Kubernetes安全平台,适用于你的IDE、CI/CD管道和集群。


Kubescape包括风险分析、安全合规性和错误配置扫描。针对所有的安全利益相关者,Kubescape提供了一个易于使用的CLI界面,灵活的输出格式,以及自动扫描功能。Kubescape为Kubernetes用户和管理员节省了时间、精力和资源。


Kubescape 是怎样工作的?


安全研究人员和专业人员编纂了控制方面的最佳实践:可以采取预防、检测或纠正措施来避免或遏制安全漏洞。这些由政府和非营利组织(例如美国网络安全和基础设施安全局、MITRE 和互联网安全中心)在框架中进行分组。


Kubescape 包含一个安全控制库,该库将源自业内最流行的安全框架的 Kubernetes 最佳实践编纂成文。这些控件可以针对正在运行的集群或正在开发的清单文件运行。它们是用 Rego 编写的,这是一种支持 Open Policy Agent (OPA) 的专用声明性策略语言。


Kubescape 通常用作命令行工具。它可用于手动扫描代码,也可由 IDE 集成或 CI 工具触发。默认情况下,CLI 结果以控制台友好的方式显示,但它们可以导出为 JSON 或 JUnit XML,呈现为 HTML 或 PDF,或提交到 ARMO 平台(Kubescape 的托管后端)。

可以使用集群内operator运行定期扫描,这还可以扫描容器映像以查找已知漏洞。

为什么将Kubescape作为Docker扩展运行?


Docker扩展是构建和整合软件应用程序到日常工作流程的基础。有了Kubescape Docker桌面扩展,工程师可以在不改变工作习惯的情况下,轻松地将安全左移。


Kubescape Docker桌面扩展帮助开发人员在第一行代码时就采用安全。如下图所示,Kubescape使工程师能够在SDLC的每一步写代码时采用安全。


具体来说,Kubescape的集群内组件会触发集群的定期扫描,并在ARMO平台上显示结果。仪表板上显示的结果可以进一步探索,扩展为用户提供补救建议和其他可操作的见解。


安装Kubescape Docker扩展

前提:Docker Desktop 4.8或更高版本。


第1步:初始设置

在Docker Desktop中,确认Docker Extensions功能已经启用。(Docker Extensions在默认情况下应该是启用的。) 在 "设置"—"扩展 "中选择 "启用Docker Extensions"。


 必须在首选项下启用Kubernetes。


Kubescape在Docker Extensions Marketplace中。


在下面的说明中,我们将在Docker桌面中安装Kubescape。扩展自动扫描后,结果将显示在ARMO平台上。

第2步:添加Kubescape扩展

打开Docker桌面,选择添加扩展,在扩展市场中找到Kubescape扩展。



第3步:安装

安装Kubescape Docker扩展。


第四步:注册和部署

Kubescape Docker Extension安装完毕,你就可以准备部署Kubescape了。


目前,唯一可用的托管服务提供商是 ARMO 平台。我们期待尽快有更多的加入。

主机需要一个ARMO账户连接你的集群。

链接了你的账户后,就可以部署Kubescape了。

访问仪表板

当你的集群部署完毕,你可以在你的主机(ARMO平台)上查看扫描输出结果,并立即开始改善集群的安全状况。


安全合规性

改善你的集群安全态势的一个步骤是保护你免受错误配置所带来的威胁。


ARMO平台将显示你的YAML中的任何错误配置,提供有关严重性的信息,并提供补救建议。这些扫描可以针对所提供的一个或多个框架运行,并可以手动运行或安排定期运行。


漏洞扫描

改善你的集群安全态势的另一个步骤是保护你免受图像中的漏洞所带来的威胁。


Kubescape的漏洞扫描器会在首次安装后立即扫描集群中的容器镜像,并将结果上传到ARMO平台。Kubescape的漏洞扫描器支持在新镜像部署到集群中时扫描它们。扫描可以手动进行,也可以定期进行,基于可配置的cron作业。


RBAC 可视化

通过ARMO平台,你还可以将Kubernetes RBAC(基于角色的访问控制)可视化,这让你可以深入了解账户访问控制。可视化使得准确定位过度授权的账户变得很容易,你可以通过明确定义的权限来减少你的威胁范围。下面的例子显示了一个主体在一个资源上被授予的所有权限。



Kubescape,使用ARMO平台作为额外查询和调查的门户,帮助你加强和维护你的安全态势。

下一步

Kubescape Docker扩展将安全带到你工作的地方。Kubescape使你能够将安全转移到开发过程的开始,使你能够从第一行代码开始实施安全优秀实践。你可以使用Kubernetes CLI工具来获得洞察力,或者将它们导出到ARMO平台,以便于审查和补救建议。

试一试Kubescape Docker扩展,并让我们知道你的想法,cncf-kubescape-users@lists.cncf.io。


发表评论
壹 减 壹 =
评论通过审核后显示。
文章分类
联系方式
联系人: 王春生
Email: chunsheng@cnezsoft.com