OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全(附视频)

已于 2023-10-10 21:47:08 修改
阅读量3.5k 收藏
点赞数
分类专栏: DevOps OpenShift 4 安全 文章标签: 容器 安全 kubernetes
于 2022-04-02 17:33:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/123922822
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
本文介绍了如何在OpenShift4.14环境中使用RHACS进行安全漏洞精细化管理。当RHACS检测到高风险CVE时,通过审核和延时处理策略,允许对不可立即修复的漏洞进行控制。详细步骤包括识别镜像中的漏洞,选择可修复的CVE,发起延时处理请求,并最终审核批准,确保DevSecOps流程的顺畅执行。
摘要由CSDN通过智能技术生成

OpenShift 4.x HOL教程汇总
本文在 OpenShift 4.14 环境中进行验证。

文章目录

场景说明

在基于 DevSecOps 的应用发布过程中,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。

但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。
在这里插入图片描述

精细化管理安全漏洞

  1. 参照《OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患》运行 cicd 项目中被修复后的 petlinic-build-dev 管道。运行后可以看到以下三个 “Fixable Severity at least Important” 类型的 HIGH 级别的安全漏洞。
    注意:这三个漏洞是本人在修复 petlinic-build-dev 管道中与 springboot 相关的几个漏洞的这段时间,由 RHACS 新发现的 CVE 漏洞。这三个漏洞此时还没有找到修复方法。
    在这里插入图片描述
  2. 复制上图中的应用镜像名称,然后进入 RHACS 控制台的 Vulnerability Management 的 Dashboard 界面,在进入 TOP RISKIEST IMAGES 区域的 VIEW ALL。
    在这里插入图片描述
  3. 按照 Image 查找前面复制的镜像名称,然后在找到的 Image 中点击名称。
    在这里插入图片描述
  4. 在 Image 的详细页面中通过 Fixable = True 的过滤条件选出可修复的 CVE,然后选中前三个 Important 级别的 CVE。最后在 Bulk actions 中选中 Defer CVE 项目。
    注意:在写本文的时候只发现三个可修复的 High 级别 CVE,如果以后会能发现更多可修复的 High 级别 CVE,请全部选中它们。
    在这里插入图片描述
  5. 在弹出对话框中选择合适的选项,然后点击 Request approval 提出延时处理请求。
    在这里插入图片描述
  6. 此时这些 CVE 右侧蓝色图标提示正在等待审核处理。
    在这里插入图片描述
  7. 然后进入 RHACS 控制台的 Vulnerability Management 的 Risk Acceptance 界面。在 Pending Approvals 栏目中选中三个项目,然后通过 Bulk actions 中的 Approve deferrals 审核三个延时申请。
    在这里插入图片描述
  8. 审核完成后可以在 Approved Deferrals 栏目中看到已通过延时处理的 CVE。
    在这里插入图片描述
  9. 最后再次运行名为 petclinic-build-dev 的管道。确认这次可以运行成功,并且在 image-check 任务执行日志中不会再提示 “Fixable Severity at least Important” 类型的 HIGH 级别的安全漏洞了。
    在这里插入图片描述

演示视频

视频

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
OpenShift Security (2) - 安装 Red Hat Advanced Cluster Security(RHACS
多恩斯基的博客
12-07 1268
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境中进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(视频
多恩斯基的博客
12-16 1264
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(视频
多恩斯基的博客
12-22 1184
oc new-project project1 oc label namespace project1 name=project1 oc new-project project2 oc label namespace project2 name=project2 oc new-project project3 oc label namespace project3 name=project3 oc new-app -n project1 openshiftroadshow/parksmap.
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 730
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用
OpenShift Security (13) - 用 RHACS应用自动生成 NetworkPolicy
多恩斯基的博客
01-05 502
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
云原生培训-openshift-ocp3红帽原厂培训ppt-完整版
03-16
云原生培训-openshift-ocp3红帽原厂培训ppt-完整版: 容器平台OPENSHIFT概览 部署容器应用
openshift-auto-upi:OpenShift自动化的用户提供的基础结构
02-01
6. **应用管理**:通过OpenShift Web Console或`oc`命令行工具创建项目、部署应用管理资源。 总的来说,OpenShift Auto UPI提供了一种灵活且可扩展的方式,让IT专业人员能够在任何符合要求的基础架构上快速部署和...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(视频
多恩斯基的博客
07-28 378
RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(视频
多恩斯基的博客
01-23 1038
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境中进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
OpenShift Security 15 - 用 RHACS安全策略管理运行中的容器安全
多恩斯基的博客
01-15 2860
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 + RAHACS 环境中进行验证。 创建 RHACS 的 Policy 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。 { "policies": [ { "id": "e0a224d9-ca08-
OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(视频
多恩斯基的博客
01-15 2874
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境中统一管理OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。
用Trivy扫描容器镜像
多恩斯基的博客
12-20 609
OpenShift 4.x HOL教程汇总》 红帽 RHACS 支持自动对其管理OpenShiftKubernetes 上的容器进行漏洞扫描、合规评估。在 RHACS 中使用了开源的 Clair 来扫描镜像,而红帽 Quay 使用的镜像扫描也是 Clair。因为 RHACS 和 Quay 都是企业平台,因此对运行环境的要求较高。而 Trivy 是一个轻量级漏洞扫描工具,支持基于 CVE 对常用的 Linux 、镜像应用进行安全扫描。 以下是使用Trivy扫描镜像的过程: $ curl -OL
Kubernetes安全解决方案--StackRox 安装篇
oasisss的博客
05-11 746
【版权声明】 本文首发于Huiling’s blog,欢迎转载,转载须保留作者Huiling的署名和原文链接。如您有合作/授权的需要,请留言:362759348@qq.com author: Huiling 转载请注明原文来源:https://blog.csdn.net/oasisss/article/details/113753481 Linkedin: http://www.linkedin.com/in/huiling-miao-65872387/ Kubernetes安全解决方案–StackRox
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(视频
多恩斯基的博客
04-01 472
workspace PVC: petclinic-build-workspace maven-settings Config Map: maven-settings oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .
OpenShift 4 - 在 DevOps 的构建、存储和运行阶段对容器镜像进行漏洞扫描视频
最新发布
多恩斯基的博客
04-03 413
说明:本文已经在 OpenShift 4.12 + RHACS 3.74 + RH Quay 3.8.4 等环境中验证。
OpenShift 4 - 利用 File Integrity Operator 实现对集群节点进行入侵检测(视频
多恩斯基的博客
03-05 4772
OpenShift 的 File Integrity Operator 可以在集群节点上持续地运行文件完整性检查。它部署了一个 DaemonSet,在每个节点上初始化并运行有特权的AIDE(Advanced Intrusion Detection Environment - 高级入侵检测环境)容器,提供自 DaemonSet 初始运行以后被修改的文件记录。
OpenShift 2.2.13 用户指南:云端应用程序管理详解
OpenShift用户手册(英文版)是专为那些希望在云平台上管理网络应用的用户设计的一份详尽指南。该手册属于OpenShift 2.2.13版本,由Red Hat公司提供,遵循Creative Commons Attribution-ShareAlike 3.0 Unported (CC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值