OpenShift Security (17) - 将 OpenShift Compliance Operator 的合规扫描集成到 RHACS

已于 2024-06-27 15:52:33 修改
阅读量568 收藏
点赞数
分类专栏: OpenShift 4 安全 文章标签: kubernetes openshift 安全合规 devsecops
于 2022-07-17 15:34:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/125824876
版权

OpenShift / RHEL / DevSecOps 汇总目录
本文在 OpenShift 4.15 和 RHACS 4.4.3 环境中进行验证。

文章目录

场景说明

OpenShift 中内置了 Compliance Operator,其中提供了基于 CIS 的基线合规扫描。有关 OpenShift Compliance Operator 的功能和配置、使用可参见以下 2 篇文章:

本文介绍如何把 OpenShift Compliance Operator 和 RHACS 进行集成,从而可以在 RHACS 控制台中查看 OpenShift CIS 基线合规扫描结果。

集成配置

准备环境

  1. 参照 OpenShift 4 - 用 Compliance Operator 对 OpenShift 进行安全合规扫描 安装 OpenShift Compliance Operator。
  2. 参照 OpenShift Security (2) - 安装 Red Hat Advanced Cluster Security(RHACS) 安装 RHACS 软件。
  3. 访问 RHACS 的合规页面,确认此时没有名为 ocp4-cis 的合规结果。
    在这里插入图片描述

使用 OpenShift Compliance Operator 进行 CIS 合规扫描

  1. 执行命令,查看支持的合规 Profile。
$ oc get profile.compliance -n openshift-compliance
NAME                       AGE     VERSION
ocp4-cis                   6m57s   1.5.0
ocp4-cis-1-4               6m58s   1.4.0
ocp4-cis-1-5               6m58s   1.5.0
ocp4-cis-node              6m57s   1.5.0
ocp4-cis-node-1-4          6m57s   1.4.0
ocp4-cis-node-1-5          6m57s   1.5.0
ocp4-e8                    6m56s
ocp4-high                  6m56s   Revision 4
ocp4-high-node             6m56s   Revision 4
ocp4-high-node-rev-4       6m56s   Revision 4
ocp4-high-rev-4            6m56s   Revision 4
ocp4-moderate              6m56s   Revision 4
ocp4-moderate-node         6m56s   Revision 4
ocp4-moderate-node-rev-4   6m56s   Revision 4
ocp4-moderate-rev-4        6m56s   Revision 4
ocp4-nerc-cip              6m56s
ocp4-nerc-cip-node         6m56s
ocp4-pci-dss               6m56s   3.2.1
ocp4-pci-dss-3-2           6m56s   3.2.1
ocp4-pci-dss-node          6m56s   3.2.1
ocp4-pci-dss-node-3-2      6m56s   3.2.1
ocp4-stig                  6m56s   V1R1
ocp4-stig-node             6m56s   V1R1
ocp4-stig-node-v1r1        6m56s   V1R1
ocp4-stig-v1r1             6m56s   V1R1
rhcos4-e8                  6m51s
rhcos4-high                6m51s   Revision 4
rhcos4-high-rev-4          6m51s   Revision 4
rhcos4-moderate            6m51s   Revision 4
rhcos4-moderate-rev-4      6m51s   Revision 4
rhcos4-nerc-cip            6m50s
rhcos4-stig                6m50s   V1R1
rhcos4-stig-v1r1           6m50s   V1R1
  1. 在 OpenShift 中创建以下 ScanSettingBinding 对象,它将名为 default 的 ScanSetting 和名为 ocp4-cis 的 Profile 绑定。
apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSettingBinding
metadata:
  name: cis-scan
  namespace: openshift-compliance
profiles:
  - apiGroup: compliance.openshift.io/v1alpha1
    kind: Profile
    name: ocp4-cis
settingsRef:
  apiGroup: compliance.openshift.io/v1alpha1
  kind: ScanSetting
  name: default
  1. 执行命令查看合规扫描进度。
$ oc get compliancescan ocp4-cis -n openshift-compliance -w
NAME       PHASE     RESULT
ocp4-cis   RUNNING   NOT-AVAILABLE
ocp4-cis   AGGREGATING   NOT-AVAILABLE
ocp4-cis   AGGREGATING   NOT-AVAILABLE
ocp4-cis   DONE          NON-COMPLIANT
 
$ oc get compliancecheckresult -n openshift-compliance
NAME                                                               STATUS   SEVERITY
ocp4-cis-accounts-restrict-service-account-tokens                  MANUAL   medium
ocp4-cis-accounts-unique-service-account                           MANUAL   medium
ocp4-cis-api-server-admission-control-plugin-alwaysadmit           PASS     medium
ocp4-cis-api-server-admission-control-plugin-alwayspullimages      PASS     high
。。。

将 OpenShift Compliance Operator 扫描结果集成到 RHACS 合规页面

  1. 如果 ACS 是在 Compliance Operator 之前安装的,则需要执行以下命令重新启动 OpenShift 的 ACS 传感器来查看这些结果。
$ oc delete pods -l app.kubernetes.io/component=sensor -n stackrox

  1. 在 RHACS 控制台的 Compliance 页面中点击 “SCAN ENVIRONMENT” 后就可以在下方看到 ocp4-cis 的合规扫描结果的统计数据。
    在这里插入图片描述
    在这里插入图片描述

  2. 进入到 ocp4-cis 扫描结果,可以查看每一项的合规扫描说明和结果。
    在这里插入图片描述

  3. 如果根据 《OpenShift 4 - 用Compliance Operator对OpenShift进行安全合规扫描》一文修复违规项目后,可在 ACS 中再次点击 “SCAN ENVIRONMENT” 后确认合规情况可被更新。

参考

https://redhat-scholars.github.io/acs-workshop/acs-workshop/08-compliance.html

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-eventforwarder:将OpenShift事件转发到外部日志记录平台
05-10
我们需要在OSE集群之外托管所有OpenShift事件,因为如果我们将所有项目的事件保留一天以上,它将淹没我们的etcd数据存储区。 因此,此工具仅附加到kubernetes API并将所有事件记录到控制台,以捕获它们并将其发送到...
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 712
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(附视频)
多恩斯基的博客
07-28 363
RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift Security 15 - 用 RHACS安全策略管理运行中的容器安全
多恩斯基的博客
01-15 2851
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 + RAHACS 环境中进行验证。 创建 RHACS 的 Policy 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。 { "policies": [ { "id": "e0a224d9-ca08-
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(附视频)
多恩斯基的博客
12-16 1214
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift 4 - 用Compliance OperatorOpenShift进行安全合规扫描(视频)
多恩斯基的博客
06-13 1219
本文介绍如何在 OpenShift 中进行安全合规扫描以及对违规项目进行自动修复。
openshift-pipelines-kustomization:用于部署OpenShift Pipelines的Kustomization(Tekton)
02-08
使用以下命令安装openshift-pipelines-operator: $ oc apply --kustomize openshift-pipelines-operator/base 确认操作员正在运行: $ oc get pod --namespace openshift-operators | grep pipelines openshift-...
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
openshift-vs-pivotal-cloud-foundry.pdf
06-28
两大paas开源平台 openshift 和 cloud foundry 对比,可用于选型参考。
CIS 系统基线
12-06
CIS(互联网安全中心) 最新系统基线标准,包含主流操作系统(AIX、redhat、oracle_linux、centos、ubuntu、debian、windows7、windows8、windows10)以及Kubernetes
cis-cat漏扫工具
08-27
自动漏扫工具,cis-cat,针对操作系统层面扫描,scanner
RHEL 8 - CIS安全合规基线、SCAP、SSG和合规扫描、漏洞扫描
多恩斯基的博客
02-12 4380
CIS(互联网安全中心)提供各种网络安全相关服务。它制作了基准以保护系统免受当今不断变化的网络威胁。 这些基准以PDF的形式免费提供给CIS成员,这些内容是可读的但不能直接被扫描工具使用。CIS为付费会员提供了一些XCCDF1格式的基准,可以被工具使用。不过这些基准不包含改变服务器状态以达到合规性所需的自动化和补救步骤。为此Red Hat向用户生产“scap-security-guidelines”软件包,它包含了基准扫描合规性、自动化和补救结果所需的内容。 openscap-scanner: 扫描工具。
OpenShift - 利用容器的特权配置实现对OpenShift攻击,以及如何使用 PSA 和 RHACS 防范风险(视频)
最新发布
多恩斯基的博客
11-03 322
本文是《容器安全 - 利用容器的特权配置实现对Kubernetes攻击》的后续篇,来介绍 在 OpenShift 环境中的容器特权配置和攻击过程和 Kubernetes 环境的差异。
OpenShift Security (2) - 安装 Red Hat Advanced Cluster SecurityRHACS
多恩斯基的博客
12-07 1207
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境中进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator
OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(附视频)
多恩斯基的博客
01-15 2867
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境中统一管理多 OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。
Kubernetes 组件安全 CIS基准以及kube-beach使用
小楼一夜听春雨,深巷明朝卖杏花
06-23 1964
CIS安全基准 互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网:https://www.cisecurity.org/ Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes/ 对每个组件定义了安全配置,针对每个组件都有具体的规则和建议如何更加规范的配置保证集群的安全。 CIS基准测试工具 下载.
[K8s Security] 基于Kube-Bench(CIS Benchmark)的自动化安全基线扫描
bolide24的博客
08-19 3867
[K8s Security] 基于Kube-Bench(CIS Benchmark)的自动化安全基线扫描 简介 关于CIS “CIS(Center for Internet Security) 是一个非盈利性实体,其任务是“确定、开发、验证、升级和维持针对网络防御的最佳做法解决方案”。 它借鉴了来自世界各地政府、企业和学术界网络安全及 IT 专业人员的专业知识。 为了制定标准和最佳做法(包括 CIS 基准、控制措施和强化映像),他们遵循一致的决策制定模型。 CIS 基准是安全配置系统的配置基线和最佳做法。
CIS-Linux Centos7最新基线标准进行系统层面基线检测
热门推荐
毛毛雨:AM
12-05 1万+
按照CIS-Linux Centos7最新基线标准进行系统层面基线检测 检查项:系统crontab权限设置  加固建议:依次执行:rm -f /etc/cron.deny rm -f /etc/at.deny touch /etc/cron.allow touch /etc/at.allow chmod 0600 /etc/cron.allow chmod 0600 /etc/at.allo
openshift internal-registry 切换 sc
05-25
oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值