写点什么

HummerRisk 使用教程:k8s 检测

作者:HummerCloud
  • 2023-03-22
    北京
  • 本文字数:1815 字

    阅读完需:约 6 分钟

HummerRisk 使用教程:k8s检测

1. 概览

HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和容器云安全检测。


本文将介绍如何使用 HummerRisk 进行 kubernetes 检测,包括使用流程、配置信息详细说明、基础功能使用等。


  1. K8s 检测前置条件


1)安装 tirvy-operator

1.添加 chart 仓库

helm repo add hummer https://registry.hummercloud.com/repository/charts

2.更新仓库源

helm repo update

3.开始安装, 可以自定义应用名称和 NameSpace

# 1.添加 chart 仓库helm repo add hummer https://registry.hummercloud.com/repository/charts
# 2.更新仓库源helm repo update
# 3.开始安装, 可以自定义应用名称和NameSpacehelm install trivy-operator hummer/trivy-operator \ --namespace trivy-system \ --set="image.repository=registry.cn-beijing.aliyuncs.com/hummerrisk/trivy-operator" \ --create-namespace --set="trivy.ignoreUnfixed=true"
# 4.检测operator是否启动成功kubectl get pod -A|grep trivy-operatortrivy-system trivy-operator-69f99f79c4-lvzvs 1/1 Running
复制代码


2)k8s 账号添加校验


确定部署 hummerrisk 的主机可以访问该 k8s 集群的 6443 端口,需要网络可达、端口可以通,如果不通可以检查防火墙;

确定提供的 k8s Token 有足够的权限,hummerrisk 会通过该 Token 调用 k8s apiserver 的 api

k8s token 权限可以参考如下 创建 ServiceAccount

cat <<EOF > hummer-sa.yamlapiVersion: v1kind: ServiceAccountmetadata:  name: hummer  namespace: kube-systemEOF
复制代码


创建 clusterrolebinding

cat <<EOF > hummer-clusterrolebinding.yamlapiVersion: rbac.authorization.k8s.io/v1kind: ClusterRoleBindingmetadata:  name: hummer-userroleRef:  apiGroup: rbac.authorization.k8s.io  kind: ClusterRole  name: cluster-adminsubjects:  - kind: ServiceAccount    name: hummer    namespace: kube-systemEOF
复制代码


创建资源

kubectl create -f ./hummer-sa.yamlkubectl create -f ./hummer-clusterrolebinding.yaml
复制代码


3) 获取 token

kubectl -n kube-system describe secret 1}') | grep token: | awk '{print $2}'
复制代码


2. 工作流程

完成 “K8s 检测”我们需要通过一下几个步骤来完成:


3. 创建 kubernetes 账号

进行 kubernetes 检测的第一步是“创建 kubernetes 账号”,因此需要确保你填写的相关配置信息无误,kubernetes 账号创建完成后,可以勾选该账号进行一键校验。具体步骤如下:

1) 登录到 HummerRisk 系统当中,点击云原生安全;

2) 点击 “K8s 检测”,点击“创建 kubernetes 账号”;

3) 填写 kubernetes 的配置信息;

4) 选择创建完成的 kubernetes 账号,点击“一键校验”,返回“成功”则代表 kubernetes 填写正确且可正常访问


4. 执行扫描

1. 执行扫描前需要确定 Operator 和 kube-bench 已经安装,默认 HummerRisk 会自动安装,点击 kubernetes 账号的安装日志可以查看,如下图:


2. 如果 Operator 和 kube-bench 状态不是“有效”,可以点击对应的安装按钮,重新执行安装。

3. 之后进行扫描任务,详细步骤如下:

4. 登录到 HummerRisk 系统当中,点击云原生安全;

5. 点击 “K8s 检测”,在对应 kubernetes 账号栏目点击“执行检测按钮”;


6. 等待检测成功。


5. 检测结果

kubernetes 检测完成后,会输出检测结果,并通过可视化的页面帮助安全管理分析、洞察 kubernetes 安全状态。详细步骤如下:

1) 登录到 HummerRisk 系统当中,点击云原生安全;

2) 点击 “K8s 检测”,点击“K8s 检测结果”;

3) 此时可以查看当前 kubernetes 安全状态,包含漏洞检测统计、配置审计统计、CIS 统计等,同时根据风险级别进行分类统计,目前分为 5 类风险等级,包括:


4) 若需要查看检测结果详情,可以点击检测统计进行详细展示页面


5) 以“漏洞检测”为例,点击“漏洞检测统计”结果后,可查看到如下漏洞详情页面,根据漏洞详情页面中的信息,我们可以查看到存在漏洞的软件名称、CVEID、风险等级、修复版本号等


6) 其他结果

a. 配置审计报告


b. K8s CIS Benchmark 合规报告


7) 查看检测详细日志

“检测状态”会显示当前检测的执行状况,状态包括:“正在处理”,“已完成”,“异常”,“告警”。点击状态按钮,会打开检测的详细日志页面,帮助定位执行中遇到的问题,如下图:


6. K8s 概览

通过 K8s 概览页面,我们可以快速分析出当前管理的 kubernetes 集群安全状态,以便于管理员快速发现安全问题。


发布于: 刚刚阅读数: 2
用户头像

HummerCloud

关注

还未添加个人签名 2022-09-07 加入

还未添加个人简介

评论

发布
暂无评论
HummerRisk 使用教程:k8s检测_HummerCloud_InfoQ写作社区