OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(附视频)

已于 2024-06-27 15:20:49 修改
阅读量1k 收藏
点赞数
分类专栏: DevOps OpenShift 4 安全 文章标签: docker openshift devops
于 2022-01-23 21:18:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/122654772
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
本文在 OpenShift 4.15 + RHACS 4.4.3 环境中进行验证。

文章目录

部署测试应用

  1. 向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。
$ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshift
  1. 基于老版本的 “httpd” 镜像在 “fix-cve” 项目中部署应用,然后再进行确认测试。
$ oc new-project fix-cve
$ oc new-app openshift/httpd:2.4-el7-120~https://github.com/sclorg/httpd-ex.git --name=http-sample -n fix-cve
$ oc expose svc http-sample -n fix-cve
$ curl -o /dev/null -w '%{http_code}\n' $(oc get route http-sample -n fix-cve -o jsonpath={.spec.host})
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 37451  100 37451    0     0  5224k      0 --:--:-- --:--:-- --:--:-- 5224k
200

镜像漏洞分析

  1. 在RHACS控制台的 Vulnerability Management 中通过 “fix-cve” 的 Namespace 过滤条件找到 “image-registry.openshift-image-registry.svc:5000/fix-cve/http-sample@sha256:b2d0b4f5894b0f84ac0ceab2cbec8f2b70754b29be8165be31195887a32dd743
    ” 镜像,确认 CVEs 显示有 “37 Fixable”。
    在这里插入图片描述
  2. 在 OpenShift 控制台的 “fix-cve” 项目的 “镜像流” 中可以看到识别符同样为 “sha256:b2d0b4f5894b0f84ac0ceab2cbec8f2b70754b29be8165be31195887a32dd743” 的镜像标签。
    在这里插入图片描述
  3. 在 OpenShift 控制台查看名为“http-sample”的构建,确认该构建使用了 “OpenShift” 命名空间中名为 “httpd:2.4-el7-120” 的 “ImageStreamTag” 作为基础镜像(在 OpenShift 中也称为 Builder Image)。
    在这里插入图片描述
  4. 在 “OpenShift” 命名空间中名为 “http” 的镜像流中找到 “httpd:2.4-el7-120” 标签,确认它是来自红帽的 “registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120” 镜像,且标识符为 “sha256:7622abadb8bf1a8c7b1a3aace288e67a0db37df7bbaa7c5b5d7f52b378a0c8c9”。
    在这里插入图片描述
  5. 查看红帽官方 “https://catalog.redhat.com/software/containers/rhscl/httpd-24-rhel7/57ea8d049c624c035f96f42e?tag=2.4-120&push_date=1600138150000&container-tabs=gti&gti-tabs=registry-tokens”,这就是上一步使用的 “registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120” 镜像。根据镜像的 Tag 可以知道它不是最新的版本,因此其中包含的 CVE 较多。
    在这里插入图片描述

应用镜像安全加固

  1. 在 Tag 中找到 “rhscl/httpd-24-rhel7” 镜像的最新版本(有可能有比下图的 “2.4-172” 更新的版本)。然后复制 “Image Manifest” 后面的字符串。
    在这里插入图片描述
  2. 在 OpenShift 控制台中查看 “openshift” 项目中的 “httpd” 镜像流,确认其中也有标识符为“sha256:e41f578420cc135583b3cbc6e9d49f5a3590acce09749ce4eb36bbc2b1a31d39” 的标签,标签名为 “httpd:2.4-el7”。
    在这里插入图片描述
  3. 在OpenShift 控制台中修改 “fix-cvs” 项目中名为 “http-sample” 的构建配置。按照下图,使用 ImageStreamTag 名为 “httpd:2.4-el7” 的镜像,再将 “lastTriggeredImageID” 后面改为“sha256:e41f578420cc135583b3cbc6e9d49f5a3590acce09749ce4eb36bbc2b1a31d39”,最后保存修改。
    在这里插入图片描述
  4. 查看 “http-sample” 构建配置中的 “构建”,确认有新的 “http-sample-2” 在运行。在完成运行后可再次确认应用可以访问。
    在这里插入图片描述
  5. 在 RHACS 中再次找到 “fix-cve” 命名空间的 Image,此时可以看到新的应用镜像已经没有 “Fixable” 的 CVE 了,这样就加固了应用镜像的安全。
    在这里插入图片描述

演示视频

视频

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-auto-upi:OpenShift自动化的用户提供的基础结构
02-01
OpenShift是一个开源容器应用平台,它基于Kubernetes,为企业提供了在私有、公有或混合云环境中的应用程序部署、管理和扩展能力。 **Ansible的角色与功能:** Ansible是整个自动化过程的核心,它是一个声明式配置、...
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
OpenShift 4 - 对镜像进行合规扫描,加固应用镜像安全
多恩斯基的博客
10-17 419
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 文章目录环境说明构建应用镜像加固镜像安全漏洞镜像合规扫描 环境说明 OpenShift 4.8 RHEL 8/CentOS 8 (其上安装有 openscap-utils,podman),或者 RHEL 7/CentOS 7(其上安装有 openscap-utils,docker) quay.io 账号 构建应用镜像加固镜像安全漏洞 允许从外部访问 OpenShift 内部的 Image Regi
12 个优化 Docker 镜像安全性的技巧
梁桂钊的博客
03-28 279
点击上方“服务端思维”,选择“设为星标”回复”669“获取独家整理的精选资料集回复”加群“加入全国服务端高端社群「后端圈」作者 | Marius出品| http://u6.gg/k7fa1本文介绍了 12 个优化 Docker 镜像安全性的技巧。每个技巧都解释了底层的攻击载体,以及一个或多个缓解方法。这些技巧包括了避免泄露构建密钥、以非 root 用户身份运行,或如何确...
OpenShift Security (2) - 安装 Red Hat Advanced Cluster SecurityRHACS
多恩斯基的博客
12-07 1202
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境中进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(视频
多恩斯基的博客
12-16 1213
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全视频
多恩斯基的博客
04-02 3551
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.10 环境中进行验证。 在基于 DevSecOps 的应用发布过程中,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。 但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。 参照《OpenShift 4
openshift-cartridge-mongodb:用于OpenShift的定制盒带,提供MongoDB> 3.2
02-04
"openshift-cartridge-mongodb"就是这样一个专为OpenShift设计的工具,它提供了对MongoDB版本3.2及以上版本的支持。 OpenShift是一个开源平台即服务(PaaS)系统,由Red Hat开发,旨在帮助开发者快速构建、部署和...
Openshift-google-mirror:谷歌镜像openshift,nginx lua,反向代理
04-28
要安装此墨盒,请在创建应用程序时使用墨盒反射器 rhc create-app myapp http://cartreflect-claytondev.rhcloud.com/reflect?github=rexdf/Openshift-google-mirror 配置 盒式磁带将安装两个配置文件。 其中一个...
openshift-shoutcast-cartridge:Openshift应用程序的 Shoutcast 分发
06-11
Openshift应用程序的 SHOUTcast 分发 概念 具有(尚未运行)缩放功能的流媒体服务,简单的一行安装: 目前可用的发行版: 从这里: rhc app-create app-name 即时 Web 控制台部署: 缩放方法: 每个齿轮或...
OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(视频
多恩斯基的博客
12-22 1171
oc new-project project1 oc label namespace project1 name=project1 oc new-project project2 oc label namespace project2 name=project2 oc new-project project3 oc label namespace project3 name=project3 oc new-app -n project1 openshiftroadshow/parksmap.
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 711
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用
OpenShift Security (13) - 用 RHACS应用自动生成 NetworkPolicy
多恩斯基的博客
01-05 493
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(视频
多恩斯基的博客
07-28 362
RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift Security 15 - 用 RHACS安全策略管理运行中的容器安全
多恩斯基的博客
01-15 2851
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 + RAHACS 环境中进行验证。 创建 RHACS 的 Policy 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。 { "policies": [ { "id": "e0a224d9-ca08-
OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(视频
多恩斯基的博客
01-15 2867
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境中统一管理多 OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。
用Trivy扫描容器镜像
多恩斯基的博客
12-20 594
OpenShift 4.x HOL教程汇总》 红帽 RHACS 支持自动对其管理的 OpenShift 或 Kubernetes 上的容器进行漏洞扫描、合规评估。在 RHACS 中使用了开源的 Clair 来扫描镜像,而红帽 Quay 使用的镜像扫描也是 Clair。因为 RHACS 和 Quay 都是企业平台,因此对运行环境的要求较高。而 Trivy 是一个轻量级漏洞扫描工具,支持基于 CVE 对常用的 Linux 、镜像应用进行安全扫描。 以下是使用Trivy扫描镜像的过程: $ curl -OL
Kubernetes安全解决方案--StackRox 安装篇
oasisss的博客
05-11 716
【版权声明】 本文首发于Huiling’s blog,欢迎转载,转载须保留作者Huiling的署名和原文链接。如您有合作/授权的需要,请留言:362759348@qq.com author: Huiling 转载请注明原文来源:https://blog.csdn.net/oasisss/article/details/113753481 Linkedin: http://www.linkedin.com/in/huiling-miao-65872387/ Kubernetes安全解决方案–StackRox
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(视频
多恩斯基的博客
04-01 424
workspace PVC: petclinic-build-workspace maven-settings Config Map: maven-settings oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值