k8s安全02--云安全工具与安全运行时

已于 2022-02-16 22:46:23 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: K8S & Docker 文章标签: 云安全工具与安全运行时 CIS-Cat trivy Secure Runtimes
于 2021-06-27 17:21:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011127242/article/details/118269169
版权

k8s安全02--云安全工具与安全运行时

1 基础简介

本文基于 k8s安全01–云安全简介 继续介绍几个常用的安全工具和安全配置,后续会在此文中持续更新相关的安全工具。

2 安全工具与运行时

2.1 CIS-Cat

CIS-Cat 是 The Center for Internet Security, Inc. (CIS®) 开发提供的一个免费工具,可以用来先检测系统中安全事项,以便于用户调整优化系统安全。

  1. 安装jdk,笔者使用 v3 的CIS-Cat工具,需要使用jdk1.8.* 或者openjdk11版本的jdk。
    直接:
apt-get install openjdk-11-jdk -y
或者下载jdk的bin文件,然后解压加入到环境变量:
vim ~/.bashrc
......
export JAVA_HOME=/home/xg/soft/jdk1.8.0_201
export PATH=$JAVA_HOME/bin:$PATH
  2. 下载安装CIS-Cat工具
    安装:
wget https://learn.cisecurity.org/e/799323/l-799323-2019-11-15-3v7x/2mnnf/\79038343?h=xWidc0ywLqO6rH0WMcM1VXE9q1_WfdjCoVQ-tL2jXks
mv 79038343\?h\=xWidc0ywLqO6rH0WMcM1VXE9q1_WfdjCoVQ-tL2jXks CIS-Cat.zip
apt-get update
apt-get install unzip
unzip CIS-Cat.zip
执行并输出安全报告
Assessor-CLI# bash Assessor-CLI.sh -i
  3. 执行输出测试报告
    执行起始输出信息:在这里插入图片描述
    选择测试项界面:
    在这里插入图片描述
    结果汇总:在这里插入图片描述
    输出完成后会生成一个html的测试报告,方便查看详细异常问题,如下图
    报告在report目录下, reports/kmaster-CIS_Ubuntu_Linux_18.04_LTS_Benchmark-20210627T023243Z.html
    在这里插入图片描述
    在这里插入图片描述

2.2 trivy

trivay 是一种适用于CI的简单而全面的容器漏洞扫描程序。其具备检测全面、使用简单、扫描快且无状态、易于安装等优点。

  1. 安装
    apt-get install wget apt-transport-https gnupg lsb-release -y
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
apt-get update
apt-get install trivy -y
$ trivy --version
Version: 0.16.0
  2. 测试
    trivy image knqyf263/vuln-image:1.2.3
检测有漏洞的 knqyf263/vuln-image:1.2.3镜像,可以发现很多漏洞
    在这里插入图片描述
    trivy --clear-cache image nginx
检测最新的nginx,还是存在 一些漏洞的
    在这里插入图片描述
    docker pull alpine:3.14.0
检测最新的alpine:3.14.0,无漏洞
    在这里插入图片描述

2.3 Secure Runtimes

RuntimeClass是需要在kube-apiserver和每个可能使用该运行时节点上的kubelets上启用的功能。我们可以在API服务器中创建对象,并在pod请求时声明引擎启动,但如果不配置后端,pod将永远不会达到就绪状态。
开启RuntimeClass方法见 docs/concepts/containers/runtime-class/#cri-configuration

vim runtimeclass.yaml
apiVersion: node.k8s.io/v1beta1
kind: RuntimeClass
metadata:
  name: gvisor
handler: runsc # 注意,如果使用的是docker(非containerd 和CRI),那么测试的时候最好将runsc更改为docker,否则无法正常拉起pod

kubectl create -f runtimeclass.yaml

vim gvisor-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: simple-gvisor
spec:
  runtimeClassName: gvisor
  containers:
  - name: secure-nginx
    image: nginx:1.19.6

kubectl create -f gvisor-pod.yaml

$ kubectl get po 
NAME                   READY   STATUS    RESTARTS   AGE
simple-gvisor          1/1     Running   0          65s
web-848bb65cf6-9lfgc   1/1     Running   1          9d

3 注意事项

  1. 使用 runtimeclass 的时候需要在集群中每个节点中开启 runtimeclass 的 handler,不开启的话无法正常拉起pod。

4 说明

  1. 软件环境
    ubuntu 环境18.04 server版本
    java 环境 1.8.0_201
    k8s 版本 1.19.4
  2. 参考文档
    CIS-CAT 介绍
    trivy github
    docs/concepts/containers/runtime-class
昕光xg
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
cis-cat漏扫工具
08-27
自动漏扫工具cis-cat,针对操作系统层面扫描,scanner
k8s安全01--云安全简介
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
04-18 980
k8s安全01--云安全简介1 基础概念1.1什么是安全1.2 基础安全原则2 说明 在云时代更加普遍的今天,云安全也逐被各大厂商关注,因此有必要了解常见的云安全知识。 通过本文,可以理解安全处理的过程、基础安全准则、常见攻击类型,能够检测云安全里面的 4C(code, container, cluster, cloud),研究安全机构和安全资源。 1 基础概念 1.1什么是安全 计算机安全指的是对计算机或者计算机系统的某个项目或者资产价值的保护;这里的资产有很多种类,包括硬件、软件、数据、程序、员工,以及
2024年最新k8s学习-CKS真题-Trivy扫描镜像安全漏洞_使用trivy镜像扫描(1),值得推荐
最新发布
2401_84254343的博客
05-12 800
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
常用操作系统扫描工具介绍(转)
henweimei的博客
09-23 3518
原文地址:https://www.cnblogs.com/JeanX/p/5569423.html 常用操作系统扫描工具介绍 1 常用操作系统扫描工具介绍 1.1 CIS-CAT 【功能】 可以根据不同的操作系统,选择不同的基准进行系统漏洞扫描。 【适用对象】 Unix/Linux,MS Windows,并且这些系统上装了java 5或以上。 本文主要介绍在Linux下的用法 1.1.1 扫描准备 将工具解压到目标Linux机器上,CIS-CAT扫描L...
企业网络安全最佳实践指南(七)
2301_81250923的博客
12-11 227
因为系统服务化之后,对原本复杂的系统进行了解耦,形成的服务独立部署、注册和服务化的调用,从安全角度来说,增加了网络安全攻击面,在架构设计时如不多加注意(如安全网关、内外网关分离、白名单机制、服务调用认证等,再如日志设计、链路监控等微服务基础设施的建立),很容易降低系统攻击难度系数,提高系统安全风险。完整性是数据安全的核心。安全贯穿运维建设的始终,包括系统安全基线、系统安全加固、高可用部署、灾备及备份集验证等,以及在安全底线和安全自查、监查要求下,开展安全稳定、可跟踪、可追溯、可审计、可阻断的运维工作。
常用操作系统扫描工具介绍
夜色朦胧
08-24 2930
1      常用操作系统扫描工具介绍 1.1      CIS-CAT 【功能】 可以根据不同的操作系统,选择不同的基准进行系统漏洞扫描。 【适用对象】 Unix/Linux,MS Windows,并且这些系统上装了java 5或以上。 本文主要介绍在Linux下的
k8s安全03--云安全工具 kube-bench & OPA
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-08 816
k8s安全03--云安全工具 kube-bench & OPA1 介绍2 安全工具2.1 kube-bench2.2 OPA Gatekeeper3 注意事项4 说明 1 介绍 本文基于 k8s安全02云安全工具安全运行时 继续介绍几个 常用的安全工具,包括 kube-bench 和 OPA(Open Policy Agent)。 2 安全工具 2.1 kube-bench kube-bench 努力像 Center for Internet Security, Inc. (CIS®), CIS
CIS-基线检查-all.7z
06-27
CIS基线检查 阿里云的基线检查就是来只于CIS 附件为 Centos\redhat\winserver oracle\sqlserver\mongo\apache的基线检查
安全测试工具
weixin_30535043的博客
01-24 412
最近对产品做了安全测试,以前没有接触过这方面,做做感觉很有意思。介绍几个工具吧。 1. WebScarab   免费的开源工具,我用它主要使用了URL拦截功能,修改URL参数可以发现网站的漏洞。例如,某些网站对用户输入的合法性只在客户端做了检查,使用WebScarab可以很容易的进行SQL注入。下面是工具的介绍: 这主要是一款代理软件,或许没有其它的工具能和OWASP的WebScarab如此...
深入浅出学K8s.zip
08-17
05 | K8s Pod:最小调度单元的使用进阶及实践 Kubernetes 进阶:部署高可用的业务 06 | 无状态应用:剖析 Kubernetes 业务副本及水平扩展底层原理 07 | 有状态应用:Kubernetes 如何通过 StatefulSet 支持有状态应用...
k8s架构图整体框架知识合集
04-13
容器运行时k8s中的一个组件,负责容器的运行和管理。SIG-Node和CRI是k8s中的一个组件,负责容器的运行时管理。Kata Containers和gVisor是k8s中的一个安全机制,用于保护容器的安全。 六、k8s监控与日志 k8s监控...
k8s-gbase8s实践.docx
12-23
在准备 k8s 环境之前,我们需要关闭虚拟机的 swap 分区,以免影响 k8s 的正常运行。同时,我们还需要配置网络参数,包括启用 IP forwarding 和 bridge 网桥。 ### 安装 Docker-ce 在 k8s 环境中,我们需要安装 ...
混合云下K8S的技术方案与实践.pptx
10-10
【混合云下的K8S技术方案与实践】 随着云计算的发展,Kubernetes(K8S)作为容器编排的主流框架,已经成为多云环境中的重要组成部分。混合云环境是指企业同时利用公有云和私有云资源,以实现更加灵活、高效的IT基础...
mkit:MKIT是托管Kubernetes检查工具,可验证托管Kubernetes群集对象和群集内运行的工作负载资源的几种与安全性相关的常见配置设置
01-28
MKIT是托管检查工具,它利用FOSS工具来查询和验证托管Kubernetes集群对象以及集群内部运行的工作负载/资源的几种与安全性相关的常见配置设置。 它完全从本地Docker容器运行,并查询您的云提供商的API和Kubernetes ...
CIS-Linux Centos7最新基线标准进行系统层面基线检测
热门推荐
毛毛雨:AM
12-05 1万+
按照CIS-Linux Centos7最新基线标准进行系统层面基线检测 检查项:系统crontab权限设置  加固建议:依次执行:rm -f /etc/cron.deny rm -f /etc/at.deny touch /etc/cron.allow touch /etc/at.allow chmod 0600 /etc/cron.allow chmod 0600 /etc/at.allo
腾讯云部署k8s服务方式
06-06
腾讯云提供了多种方式来部署 Kubernetes 服务,下面简单介绍几种常用的方式: 1. 使用 TKE:TKE 是腾讯云提供的 Kubernetes 托管服务,可以快速创建和管理 Kubernetes 集群。使用 TKE,可以通过控制台或 API 来创建和管理集群,而且集群的安全、高可用、监控等方面都有腾讯云提供的支持。 2. 使用容器服务:容器服务是腾讯云提供的容器托管平台,支持 Kubernetes、Docker Swarm 等多种容器编排工具。使用容器服务,可以快速创建和管理容器集群,而且还提供了灵活的扩容、监控、日志等功能。 3. 手动安装:如果你想更深入地了解 Kubernetes,也可以选择手动在腾讯云上部署 Kubernetes 服务。在手动安装 Kubernetes 时,可以使用 kubeadm、kops 等工具来快速部署 Kubernetes 集群,并使用 kubectl 等工具来管理集群。 需要注意的是,在部署 Kubernetes 服务时,需要选择合适的计费方式和实例配置,以满足应用的性能和可靠性要求。另外,还需要注意安全、备份、监控等方面的问题,以确保 Kubernetes 集群的稳定和安全运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昕光xg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值