1. 概览

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和容器云安全检测。

本文将介绍如何使用 HummerRisk 进行 kubernetes 检测，包括使用流程、配置信息详细说明、基础功能使用等。

2. K8s 检测前置条件

1）安装 tirvy-operator

1.添加 chart 仓库

helm repo add hummer https://registry.hummercloud.com/repository/charts

2.更新仓库源

helm repo update

3.开始安装, 可以自定义应用名称和 NameSpace

# 1.添加 chart 仓库helm repo add hummer https://registry.hummercloud.com/repository/charts
# 2.更新仓库源helm repo update
# 3.开始安装, 可以自定义应用名称和NameSpacehelm install trivy-operator hummer/trivy-operator \ --namespace trivy-system \ --set="image.repository=registry.cn-beijing.aliyuncs.com/hummerrisk/trivy-operator" \ --create-namespace --set="trivy.ignoreUnfixed=true"
# 4.检测operator是否启动成功kubectl get pod -A|grep trivy-operatortrivy-system   trivy-operator-69f99f79c4-lvzvs           1/1     Running 

2）k8s 账号添加校验

确定部署 hummerrisk 的主机可以访问该 k8s 集群的 6443 端口，需要网络可达、端口可以通，如果不通可以检查防火墙;

确定提供的 k8s Token 有足够的权限，hummerrisk 会通过该 Token 调用 k8s apiserver 的 api

k8s token 权限可以参考如下 创建 ServiceAccount

cat <<EOF > hummer-sa.yamlapiVersion: v1kind: ServiceAccountmetadata:  name: hummer  namespace: kube-systemEOF

创建 clusterrolebinding

cat <<EOF > hummer-clusterrolebinding.yamlapiVersion: rbac.authorization.k8s.io/v1kind: ClusterRoleBindingmetadata:  name: hummer-userroleRef:  apiGroup: rbac.authorization.k8s.io  kind: ClusterRole  name: cluster-adminsubjects:  - kind: ServiceAccount    name: hummer    namespace: kube-systemEOF

创建资源

kubectl create -f ./hummer-sa.yamlkubectl create -f ./hummer-clusterrolebinding.yaml

3） 获取 token

kubectl -n kube-system describe secret 1}') | grep token: | awk '{print $2}'

2. 工作流程

完成 “K8s 检测”我们需要通过一下几个步骤来完成：

3. 创建 kubernetes 账号

进行 kubernetes 检测的第一步是“创建 kubernetes 账号”，因此需要确保你填写的相关配置信息无误，kubernetes 账号创建完成后，可以勾选该账号进行一键校验。具体步骤如下：

1) 登录到 HummerRisk 系统当中，点击云原生安全；

2) 点击 “K8s 检测”，点击“创建 kubernetes 账号”；

3) 填写 kubernetes 的配置信息；

4) 选择创建完成的 kubernetes 账号，点击“一键校验”，返回“成功”则代表 kubernetes 填写正确且可正常访问

4. 执行扫描

1. 执行扫描前需要确定 Operator 和 kube-bench 已经安装，默认 HummerRisk 会自动安装，点击 kubernetes 账号的安装日志可以查看，如下图：

2. 如果 Operator 和 kube-bench 状态不是“有效”，可以点击对应的安装按钮，重新执行安装。

3. 之后进行扫描任务，详细步骤如下：

4. 登录到 HummerRisk 系统当中，点击云原生安全；

5. 点击 “K8s 检测”，在对应 kubernetes 账号栏目点击“执行检测按钮”；

6. 等待检测成功。

5. 检测结果

kubernetes 检测完成后，会输出检测结果，并通过可视化的页面帮助安全管理分析、洞察 kubernetes 安全状态。详细步骤如下：

1) 登录到 HummerRisk 系统当中，点击云原生安全；

2) 点击 “K8s 检测”，点击“K8s 检测结果”；

3) 此时可以查看当前 kubernetes 安全状态，包含漏洞检测统计、配置审计统计、CIS 统计等，同时根据风险级别进行分类统计，目前分为 5 类风险等级，包括：

4) 若需要查看检测结果详情，可以点击检测统计进行详细展示页面

5) 以“漏洞检测”为例，点击“漏洞检测统计”结果后，可查看到如下漏洞详情页面，根据漏洞详情页面中的信息，我们可以查看到存在漏洞的软件名称、CVEID、风险等级、修复版本号等

6) 其他结果

a. 配置审计报告

b. K8s CIS Benchmark 合规报告

7) 查看检测详细日志

“检测状态”会显示当前检测的执行状况，状态包括：“正在处理”，“已完成”，“异常”，“告警”。点击状态按钮，会打开检测的详细日志页面，帮助定位执行中遇到的问题，如下图：

6. K8s 概览

通过 K8s 概览页面，我们可以快速分析出当前管理的 kubernetes 集群安全状态，以便于管理员快速发现安全问题。