OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(附视频)

已于 2023-01-10 19:28:49 修改
阅读量1.2k 收藏
点赞数
分类专栏: OpenShift 4 DevOps 安全 文章标签: 安全 kubernetes log4j
于 2021-12-16 14:56:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/121969489
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 77 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在 OpenShift 4.11 + RHACS 3.71.0 环境中验证,需要先完成《OpenShift Security (2) - 安装 Red Hat Advanced Cluster Security(RHACS)

  • 本文将在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。
  • RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 安全策略库” 的机制对使用的镜像进行安全扫描和运行准入。

文章目录

扫描特定的远程镜像

在 RHACS 的 Dashboard 页面中的 “Images at most risk” 区域点击 “View all” 按钮。
在这里插入图片描述
在 “MANAGE WATCHED IMAGES” 对话框中的 Image Name 中填入 “docker.io/elastic/logstash:7.13.0”,然后点击 ADD IMAGE 按钮。确认在对话框中显示成功对镜像扫描。
在这里插入图片描述
在 IMAGES 页面中确认可以找到 “docker.io/elastic/logstash:7.13.0”,其状态为 Inactive,另外还提示 Scanning via watch tag。
在这里插入图片描述
进入 “docker.io/elastic/logstash:7.13.0”,可以在其包括的 CVE 列表中看到 “CVE-2021-44228”。
在这里插入图片描述
进入 “CVE-2021-44228” 可以查看该 CVE 的描述,确认该漏洞由 Log4j 引起。
在这里插入图片描述
点击上图右侧 “2 COMPONENTS”,可以看到和 CVE 2021-44228 相关的 log4j 组件版本和被修复版本。
在这里插入图片描述

部署测试应用

执行以下命令在 OpenShift 中运行 “docker.io/elastic/logstash:7.13.0” 镜像,其中带有受漏洞影响的 Log4j 环境。

oc new-project log4shell 
oc run log4shell -n log4shell --image=docker.io/elastic/logstash:7.13.0
oc get pod -n log4shell

在 RHACS 中查看安全漏洞

进入 RHACS 控制台,在 Vulnerability Management 中的 “TOP RISKIEST IMAGES” 区域可以看到 “docker.io/elastic/logstash:7.13.0” 镜像。
在这里插入图片描述
然后点击上图 VIEW ALL,可以看到 “docker.io/elastic/logstash:7.13.0” 镜像已处于 Active 状态了,说明该镜像已经在运行了。
在这里插入图片描述

查看安全违规

  1. 在 RHACS 的 Dashborad 中确认有和 “Log4Shell” 相关的 violation 安全违规。
    在这里插入图片描述
  2. 通过 RHACS 的菜单进入 Violations 页面,通过 Severity 排名可以看到 Critical 级别的 Log4Shell: log4j Remote Code Execution vulnerability 违规项目。
    在这里插入图片描述
  3. 点击上图中包含的 “Log4Shell” 的违规项目,可以看到详细的违规内容和违规策略定义。
    在这里插入图片描述
    在这里插入图片描述

安全策略

修改安全策略

  1. 通过 Policy Management 菜单进入 RHACS 的安全策略管理页面。然后按照策略名称过滤 log4shell 以找到 “Log4Shell: log4j Remote Code Execution vulnerability” 策略。
    在这里插入图片描述
  2. 通过 Edit policy 菜单进入编辑策略页面。在 “Policy behavior” 步骤中将 Response method 改为 Inform and enforce,同时打开下方的 Enforce on Build 和 Enforce on Build 选项。最后保存安全策略。
    在这里插入图片描述

部署镜像,验证安全策略生效

  1. 先删除掉项目中所有资源。
oc delete all --all -n log4shell
  1. 然后在 “开发者” 视图中用 “部署镜像” 功能部署 “elastic/logstash:7.13.0”。在点击 “创建” 后会看到部署运行的 Pod 数量会从 1 减到 0。
    在这里插入图片描述
  2. 另外还可以在“部署详情”页面中的“事件”里看到 Pod 从 1 减到 0 的原因说明。
    在这里插入图片描述
  3. 在 RHACS 的 Violations 中找到 Log4Shell: log4j Remote Code Execution vulnerability 违规项目,确认其中 Enforcement 部分也说明了当发现 Deployment 中有该项安全违规,就将 replicas 的数量缩至 0。
    在这里插入图片描述
    在这里插入图片描述
  4. 将镜像换成更高的版本 “elastic/logstash:7.17.6” 后再 “创建” 部署,确认可以正常 部署运行 “elastic/logstash:7.17.6”。这说明新的镜像中已经不存在 log4j 的安全漏洞。

演示视频

视频

参考

http://cloud.redhat.com/blog/log4shell-practical-mitigations-and-impact-analysis
https://github.com/giannisalinetti/rhacs-log4shell-mitigation

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-install-power:Bash安装助手可使用Terraform IaC在IBM Power Systems Virtual Server上部署OpenShift 4
04-01
在PowerVS上安装OpenShift介绍该项目包含一个bash脚本,可帮助您 (PowerVS)IBM:registered:Power 部署OpenShift Container Platform4.X。 的Terraform代码用于部署过程。 确保您的PowerVS实例已准备好部署...
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
OpenShift 4 - 在 Jenkins 的 CI/CD 中用 RHACS镜像进行安全扫描视频
多恩斯基的博客
09-06 1197
本文使用在 OpenShift 中使用由 Jenkins、Nexus、Sonarqube、RHACS 组成的 DevSecOps CICD Pipeline 环境对应用镜像进行安全扫描检查。在发现安全违规后,通过升级应用使用 Java 库、基础镜像等手段修复应用镜像,同时对暂时无法修复的安全违规项目进行暂缓处理。
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 707
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(视频
多恩斯基的博客
07-28 360
RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift Security (2) - 安装 Red Hat Advanced Cluster SecurityRHACS
多恩斯基的博客
12-07 1189
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境中进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
OpenShift Security 15 - 用 RHACS安全策略管理运行中的容器安全
多恩斯基的博客
01-15 2850
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 + RAHACS 环境中进行验证。 创建 RHACS 的 Policy 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。 { "policies": [ { "id": "e0a224d9-ca08-
openshift-pipelines-kustomization:用于部署OpenShift Pipelines的Kustomization(Tekton)
02-08
Kustomization,用于部署OpenShift管道(Tekton) 该kustomization使用 。 部署OpenShift管道 使用以下命令安装openshift-pipelines-operator: $ oc apply --kustomize openshift-pipelines-operator/base 确认...
openshift-ansible-kvm:UPI在KVM上安装OpenShift 4的Ansible剧本
05-03
openshift-ansible-kvm 该存储库包含Ansible剧本,用于在KVM上进行OpenShift 4的UPI安装。 它同时支持和部署。 注意:此配置用于一次性测试,不支持生产使用。要求工作站(或称其为基础节点,控制节点...),运行...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
OpenShift Security (17) - 将 OpenShift Compliance Operator 的合规扫描集成到 RHACS
多恩斯基的博客
07-17 566
本文介绍如何把 OpenShift Compliance Operator 和 RHACS 进行集成,从而可以在 RHACS 控制台中查看 OpenShift CIS 基线合规扫描结果。
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全视频
多恩斯基的博客
04-02 3550
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.10 环境中进行验证。 在基于 DevSecOps 的应用发布过程中,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。 但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。 参照《OpenShift 4
OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(视频
多恩斯基的博客
12-22 1168
oc new-project project1 oc label namespace project1 name=project1 oc new-project project2 oc label namespace project2 name=project2 oc new-project project3 oc label namespace project3 name=project3 oc new-app -n project1 openshiftroadshow/parksmap.
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(视频
多恩斯基的博客
04-01 421
workspace PVC: petclinic-build-workspace maven-settings Config Map: maven-settings oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .
OpenShift Security - 用 RHACS 为应用自动生成 NetworkPolicy
多恩斯基的博客
01-05 490
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(视频
多恩斯基的博客
01-23 1010
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境中进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用 向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(视频
多恩斯基的博客
01-15 2864
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境中统一管理多 OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。
OpenVas 漏洞扫描器使用教程
最新发布
顺其自然~专栏
10-17 1708
scans选择tasks,点击New tasks新建扫描任务,填写扫描任务名称,在任务设置时openvas会自动把设置的扫描目标添加,选择配置的扫描策略,设置完成后create保存,主界面多出一个linux_task的扫描任务,点击执行按钮开始扫描。4、openvas-setup:更新NVTs库(openvas早起版本需要手动的创建证书,随着版本更新现openvas更新会自动创建CA、更新插件、配置侦听端口,默认openvas会创建一个admin的账号和密码,也可以自己创建账号密码)
OpenShift / RHEL / DevSecOps 汇总目录
热门推荐
多恩斯基的博客
03-23 1万+
文章目录OpenShift Hands-on LabQuarkusGitOpsIstio Service Mesh系列Istio-TutorialService MeshKnatvie系列Knative入门Knative-Tutorial OpenShift Hands-on Lab Hands-on Lab (0) - 教程说明和准备环境 Hands-on Lab (1) - 多种方法部署运行应........................................................
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值