云原生安全检测器 Narrows(CNSI)的部署和使用

最新推荐文章于 2023-06-30 21:01:00 发布
最新推荐文章于 2023-06-30 21:01:00 发布
阅读量654 收藏
点赞数 1
分类专栏: 跨云服务 文章标签: 云原生 安全 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42906753/article/details/129064266
版权
本文介绍了如何在Kubernetes集群上部署和使用云原生安全检测器Narrows(CNSI)0.2.0版。CNSI旨在对K8s集群中的工作负载进行动态安全检测,补充静态扫描的不足。通过Minikube部署K8s集群,然后安装CNSI,配置Harbor进行镜像扫描,使用CNSI检查Prometheus工作负载的运行时漏洞,展示了CNSI的功能和报告分析。
摘要由CSDN通过智能技术生成

近日, 云原生安全检测器 Narrows(Cloud Native Security Inspector,简称CNSI)发布了0.2.0版本。
(https://github.com/vmware-tanzu/cloud-native-security-inspector)

此项目旨在对K8s集群中的工作负载进行动态(运行时)的安全检测,并报告安全问题,从而弥补了现有静态安全扫描技术的不足之处。

Harbor等云原生镜像仓库提供了静态扫描能力,例如镜像CVE扫描,覆盖的范围主要是镜像的应用层。当镜像被部署到K8s集群后,在不同的配置条件下可能会出现新的漏洞。Narrows可以探测到这部分漏洞并报告给用户,而且可以采取相应的措施(如网络隔离等)减少漏洞的影响。

本文的目的在于使用一个简单的Demo来指导用户在自己的K8s集群中快速部署Narrows(CNSI)。我们将使用Minikube来部署一个简单的K8s集群,部署一个Prometheus工作荷载,并使用CNSI来检查这个Prometheus负载的风险。

前置条件

1.需要准备一台Linux机器,本文中我们使用了一台“CentOS Linux release 7.9.2009 (Core)”型号的机器。

2.我们的机器拥有32核CPU和64GB内存,此配置不代表实现demo的最小配置。

3.在机器上需要安装好Docker, 参考https://www.digitalocean.com/community/tutorials/how-to-install-and-use-docker-on-centos-7

4.需要已经有一个版本为2.5.0以上的Harbor(https://goharbor.io/)实例。并且已经配置好Harbor的安全扫描功能(https://goharbor.io/docs/main/administration/vulnerability-scanning/)。CNSI会利用Harbor的安全扫描功能。

使用Minikube准备K8s集群

部署一个简单的K8s集群有多种方式,例如使用Kind或者使用kubeadm。在本文中我们使用Minikube来部署一个单节点的K8s集群。

执行下面三行命令,即可在Linux机器上部署K8s v1.23.0。

在这里插入图片描述

验证K8s集群部署成功:

在这里插入图片描述

在K8s集群上部署CNSI

安装依赖程序

执行以下四行命令来安装git, wget, gcc和helm:

在这里插入图片描述

在K8s集群上部署CNSI

执行以下三行命令来部署CNSI:

在这里插入图片描述

“./deploy.sh install

最低0.47元/天 解锁文章
VMware中国研发中心
关注
专栏目录
云原生安全检测工具(容器安全、trivy、veinmind-tools)
墨痕诉清风的博客
07-31 880
例如上文的 mysql:5.7 镜像,在扫描镜像包含的 openssl 库时,会根据操作系统版本,去 trivy.db 的"Oracle Linux 7"、“openssl”桶中查询相关漏洞信息,并最终生成 CVE-2021-23840 漏洞告警。如果没有,则需要解析基础镜像,并根据其中的操作系统版本文件(etc/alpine-release、usr/lib/os-release、/etc/os-release 等),来确定基础镜像的操作系统版本。‍‍Trivy 的漏洞库,名叫 trivy-db​​。
搭建Harbor镜像仓库:从安装到上传镜像
最新发布
qq_46329367的博客
01-05 1211
在软件开发过程中,一个稳定的镜像仓库对于存储和管理镜像至关重要。Harbor提供了一个强大的解决方案,允许您在本地环境中搭建私有的Docker镜像仓库。
云原生安全检测器 Narrows发布,在Harbor上增加容器安全的动态扫描
VMware中国研发中心
02-16 1360
CNSI, 即云原生安全检测器(Cloud Native Security Inspector),项目代号: Narrows。在 Harbor 的基础上,Narrows 增强了动态安全方面的能力,它允许用户对 Kubernetes 集群和其中的工作负载进行运行时的安全态势评估。
探索云原生安全测试
IDEAL Garden
04-07 537
由于不同时代所使用的架构和技术的差异,云时代面临着一系列安全测试挑战。然而,传统的安全测试手段和工具由于其固有的缺点,无法很好地适应云时代的安全测试需求。
[译] BeyondProd:云原生安全的一种新方法(Google, 2019)
云原生实验室
06-07 1712
原文链接:http://arthurchiao.art/blog/google-beyondprod-zh/前言本文翻译自 2019 年 Google 的一篇白皮书 BeyondProd...
云计算安全测评:云原生安全
CCSA2018的博客
04-22 848
云原生发展趋势 云原生的英文缩写“Cloud Native”是一个组合词,其中“云”表示应用程序运行于云计算环境中,“原生”表示应用程序在设计之初就充分考虑了云计算的弹性和分布式特性。云原生架构能够助力企业适应现代IT技术的发展变化,从而帮组织实现软件的快速迭代、敏捷开发,达到降低成本的效果。 2013年,Pivotal公司的Matt Stine首次提出云原生的概念,用于区分为云而设计的应用和云上部署的传统应用。 2015年,云原生计算基金会(CNCF)成立,旨在推动以容器为中心的云原生系统。其给出了目前被
云原生应用安全_云原生安全检测工程
weixin_26722031的博客
07-31 647
云原生应用安全by Jamie Lewis, Venture Partner 合伙人杰米·刘易斯 ( Jamie Lewis) The rapid move to cloud-native architectures is having a profound impact on enterprise security posture and operations. In the world of...
narrows:在线讲故事系统
05-03
窄边 NARROWS是一个在线叙事系统。 该名称代表“ Web系统上的NARRation”。 解释它的最简单方法是,想象一下具有以下差异的在线书: ... 确保您具有Node.js(至少为版本6)和NPM(至少为版本4)。 运行npm
python model如何获取分类错误的数据_使用CNN和Keras进行95%准确度的交通标志识别的Python项目
weixin_39545805的博客
11-20 1030
Python项目–交通标志识别 您一定已经听说过自动驾驶汽车,乘客可以在其中完全依靠汽车行驶。但是要实现5级自动驾驶,车辆必须了解并遵守所有交通规则。在人工智能和技术进步的世界中,许多研究人员和大公司,例如特斯拉,优步,谷歌,奔驰,丰田,福特,奥迪等,都在研究自动驾驶汽车和无人驾驶汽车。因此,为了实现该技术的准确性,车辆应该能够分辨交通标志并做出相应的决策。什么是交通标志识别?有几种不同类型的交通...
jquery.narrows:根据一个选择(缩小)jQuery插件的选择结果,缩小另一个选择的选择
05-08
jQuery Select缩小插件(选择优化插件) ... 您可以通过多个父选择的选择结果来缩小子选择的选择范围,例如“父1和父2→子”。例如,选择1选择一种颜色,选择2选择一种形状以缩小选择3的选项。 通过组
云原生安全检测器 Narrows:为 Harbor 增加容器运行时安全扫描能力
亨利笔记
02-12 436
题图摄于广州花城广场本文作者之一Simon(赵仁明),VMware云原生实验室架构师。10+年云平台、数据平台、人工智能基础设施平台研发经验。目前主要关注云原生与人工智能领域的开源及创新项目。国内外的用户都在使用云原生技术来提高应用的开发效率和可管理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描和镜像签名等功能。Harbor 已经提供了一...
云原生安全开源项目CNSINarrows)v0.3发布
VMware中国研发中心
03-29 169
VMware云原生团队发布了「云原生安全检测器 Narrows的0.3版本!该版本不仅能帮助用户更简单的拓展潜在数据消费者,同时允许用户不通过克隆代码即可使用Helm命令安装部署Narrows
BeyondProd:云原生安全的一种新方法
u012516914的专栏
09-20 559
Google 此前的几篇白皮书已经介绍我们内部开发的一些增强安全性的项目。从命名来说 ,BeyondProd 是有意让人想起我们先前的另一个概念 BeyondCorp —— 正如边界安全模...
2021年值得关注的五个云原生安全问题
琦彦
03-17 4608
原文发表于kubernetes中文社区,为作者原创翻译,原文地址 更多kubernetes文章,请多关注kubernetes中文社区 目录 关注点1:没有使用多因素身份验证 关注点二:特权访问 关注点3:配置错误 关注点四:忽略构建安全性 关注点五:没有警报 云 原生正变得越来越流行,在2020年,Cloud Native Computing Foundation(CNCF)统计发现91%的受访公司正在使用Kubernetes,其中83%的组织也在生产环境中使用kubern...
云原生活动预告|Harbor & Narrows & Velero开源项目技术沙龙报名开启!
开源社KAIYUANSHE的博客
06-30 95
7月15日,由VMware主办,开源社、融科资讯中心协办,聚焦于Harbor、Narrows、Velero三个开源项目的技术分享活动将与大家见面。本次活动汇集了来自VMware、蚂蚁集团、微软、骥步科技、雅克云的多位云原生领域技术专家现场分享全栈式的开源项目讲解和云原生应用的落地与实践,希望您能通过本次云原生技术沙龙获得更多灵感和思路。本次活动干货满满,欢迎北京的朋友们免费报名线下参会,期待您的...
k8s部署canal cni插件及配置网络策略
学亮编程手记
03-12 843
这将创建一个名为calico-policy-controller的Deployment和一个名为calico-kube-controllers的DaemonSet,用于在Kubernetes中管理网络策略。如果需要使用Canal的网络策略功能,则需要在Kubernetes中创建网络策略对象。可以通过kubectl apply命令将canal.yaml文件中的配置应用于Kubernetes集群中。通过以上步骤,就可以在Kubernetes部署Canal,并使用其提供的灵活的容器网络解决方案。
(译)云原生安全白皮书
云原生实验室
11-27 4625
执行摘要目的云原生的开发和部署模式已经成为业界趋势,技术、产品、标准和解决方案的生态系统也在同步的扩张之中,决策者面临着跟进复杂设计的挑战。CISO 要在这个动荡的战场中实践业务价值,这...
Portainer 管理 Docker swarm集群 整合harbor镜像库
jiejiegua的博客
01-13 3890
目录 1、服务器实体 2、安装docker 3、dokcer swarm 集群 1、设置主机名称 2、设置hosts 3、配置集群manager节点 (在manger服务器执行) 4、配置worker 节点 5、特别注意 4、部署Portainer 1、拉取镜像 2、 启动服务 3、访问 9000端口打开页面 设计账户账户密码 进入界面 5、harbor安装 1、docker配置 2、harbor 安装 (manager) 3、harbor 创建并推送到镜像库 ...
Harbor镜像仓库v2.0.1安装及使用
u010948569的博客
07-09 4667
Harbor简介 官网地址:https://goharbor.io/ Harbor(港口,港湾)是一个用于存储和分发Docker镜像的企业级Registry服务器。除了Harbor这个私有镜像仓库之外,还有Docker官方提供的Registry。相对Registry,Harbor具有很多优势: 提供分层传输机制,优化网络传输 Docker镜像是是分层的,而如果每次传输都使用全量文件(所以用FTP的方式并不适合),显然不经济。必须提供识别分层传输的机制,以层的UUID为标识,确定传输的对象。 提供WEB界
jquery.narrows插件:简化jQuery选择层次结构的利器
8. **压缩包文件信息**:提供了压缩包文件的名称“jquery.narrows-master”,它暗示了插件的版本控制和代码管理,使用版本号作为标识,表明这是一个经过源代码管理的项目。 为了更好地利用jQuery.narrows插件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值