一键运行CIS安全扫描,集群安全无忧!

栏目: IT技术 · 发布时间: 4年前

内容简介:多集群管理、存储、微服务落地难?还在测试环境中犹豫不决是否该落地生产?点击【阅读原文】,或访问以下链接即可报名:

多集群管理、存储、微服务落地难?还在测试环境中犹豫不决是否该落地生产?

下周六(5月16日)下午2点, 线上直播技术分享+案例实践 ,由Rancher中国研发总监、资深架构师以及公共安全上市公司辰安科技系统设计师精心呈现,消除你的所有疑惑!

点击【阅读原文】,或访问以下链接即可报名:

http://z-mz.cn/yh4q

对于任何成功的Kubernetes策略来说,集群安全是至关重要的部分。近期,一份由AimPoint发布的调查报告显示,44%的受访者表示由于Kubernetes容器的安全问题,推迟了应用程序进入生产环境。

然而,Kubernetes安全是一台复杂的机器,其中包含许多活动部件、集成件以及旋钮和杠杆。这会使本来就充满挑战的安全工作变得更加困难。

业界应用最为广泛的Kubernetes管理平台创建者Rancher Labs一直在为用户寻找各种高效的方式,因此我们十分高兴在Rancher 2.4中推出了CIS安全扫描功能。这项Rancher托管集群的新功能可以让你针对互联网安全中心发布的100多个CIS基准运行RKE集群的ad-hoc安全扫描以及定期的扫描。使用CIS安全扫描,你可以创建自定义测试配置并生成包含通过/失败信息的报告。根据报告内容,你可以采取各种措施以确保你的集群满足所有安全要求。

CIS基准已经被广泛接受为保障Kubernetes集群安全的事实标准。它提供了行业认可的指标,该指标可以用来衡量Kubernetes集群的安全状况。它将信息安全社区领域的知识与Kubernetes中的API、交互和总体控制路径的深刻理解相结合。当工程师试图了解他们保护集群所需的所有位置时,他们可以从基准中了解到数十种攻击的可能性以及如何缓解它们。

一键运行CIS安全扫描,集群安全无忧!

为什么IT Ops需要CIS安全扫描?

根据CIS基准手动评估集群是一个十分耗时且容易失败的过程。而现实中,我们的系统不断变化,因此我们需要经常进行重新评估。这就是 kube-bench 大展身手之处。这是Aqua创建的一种开源工具,用于根据CIS Benchmark自动评估集群。

Rancher 2.4使用 kube-bench 作为安全引擎,并且对其进行了一些补充。借助Rancher 2.4中的CIS安全扫描,你可以一键编排集群扫描。Rancher负责获取 kube-bench 工具并将其连接到集群。然后,Rancher将从所有节点的结果中总结出一个易于阅读的报告,该报告会展示集群通过或失败的区域。此外,Rancher还能让你在集群级别安排周期扫描。该设置可以在集群模板级别启用,并在默认情况下,允许管理员为计划的扫描配置模板,以便针对Rancher设置中任何用户创建的每个新集群运行扫描。最后,Rancher为CIS安全扫描提供自定义告警和通知,以通知安全管理员配置漂移或集群扫描失败。

一键运行CIS安全扫描,集群安全无忧!

在Rancher 2.4中动手实践CIS集群

让我们启动一个Rancher RKE集群。

前期准备:CentOS VM(至少2核),并安装好Docker

Step1:运行Rancher Server

[root@rancher-rke ~]# sudo docker run -d --restart=unless-stopped -p 80:80 -p 443:443 rancher/rancher:v2.4.0-rc3

Unable to find image 'rancher/rancher:v2.4.0-rc3' locally

Trying to pull repository docker.io/rancher/rancher ...

v2.4.0-rc3: Pulling from docker.io/rancher/rancher

423ae2b273f4: Pull complete

de83a2304fa1: Pull complete

f9a83bce3af0: Pull complete

b6b53be908de: Pull complete

b365c90117f7: Pull complete

c939267bea55: Pull complete

7669306d1ae0: Pull complete

25e0f5e123a3: Pull complete

d6664495480f: Pull complete

99f55ceed479: Pull complete

edd7d0bc05aa: Pull complete

77e4b172baa4: Pull complete

48f474afa2cd: Pull complete

2270fe22f735: Pull complete

44c4786f7637: Pull complete

45e3db8be413: Pull complete

6be735114771: Pull complete

dfa5473bfef3: Pull complete

Digest: sha256:496bd1d204744099d70f191e86d6a35a5827f86501322b55f11c686206010b51

Status: Downloaded newer image for docker.io/rancher/rancher:v2.4.0-rc3

a145d93e8fa66a6a08b4f0e936dafc4b9717a93c59013e78118a4c5af8209a53

[root@rancher-rke ~]# docker ps


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

a145d93e8fa6 rancher/rancher:v2.4.0-rc3 "entrypoint.sh" About a minute ago Up About a minute 0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp distracted_albattani

Step2:访问Rancher URL并安装RKE http://{hostIP}

设置密码和URL

一键运行CIS安全扫描,集群安全无忧!

设置Rancher密码和URL作为host IP

添加一个新集群并选择 From existing nodes (Custom) (从现有节点添加)

一键运行CIS安全扫描,集群安全无忧!

选择默认选项并选择etcd、控制平面和worker,因为我们将在一个VM上安装这一切。

一键运行CIS安全扫描,集群安全无忧!

一键运行CIS安全扫描,集群安全无忧!

复制以上命令并运行在VM实例上

[root@rancher-rke ~]# **sudo docker run -d --privileged --restart=unless-stopped --net=host -v /etc/kubernetes:/etc/kubernetes -v /var/run:/var/run rancher/rancher-agent:v2.4.0-rc3 --server https://185.136.233.195 --token** hwpf4kpjf49gk9wq5xvw7gdjxtj257j8wmnn5rj6lb98csz2zmkcgq --ca-checksum 3f9640ab12533287fd5e0ad1663cccf354a4ce2a76243cd6735abcfb085bdbf2 --etcd --controlplane --worker

Unable to find image 'rancher/rancher-agent:v2.4.0-rc3' locally

Trying to pull repository docker.io/rancher/rancher-agent ...

v2.4.0-rc3: Pulling from docker.io/rancher/rancher-agent

423ae2b273f4: Already exists

de83a2304fa1: Already exists

f9a83bce3af0: Already exists

b6b53be908de: Already exists

931af2228ddf: Pull complete

94b51e50d654: Pull complete

7e7961efe32b: Pull complete

85725dc92c8d: Pull complete

5a82c6e509a6: Pull complete

3b675e73aee3: Pull complete

Digest: sha256:89017bd846a8cc597186f41eb17cfe1520aa0f7e6d86b48d8c32a5490c588f1e

Status: Downloaded newer image for docker.io/rancher/rancher-agent:v2.4.0-rc3

5aaa9fab48db4557c84b7ce0c61816384075570ed3e593446795bf8443610b64

在Rancher UI中导入集群,我们可以看到集群的状态为active:

一键运行CIS安全扫描,集群安全无忧!

现在点击集群,并从【工具】菜单栏中,选择CIS安全扫描。

一键运行CIS安全扫描,集群安全无忧!

一键运行CIS安全扫描,集群安全无忧!

当前CIS安全扫描仅针对RKE集群,有两个扫描配置文件:宽松(Permissive)和严格(Hardened)。

  • Permissive(宽松):该配置文件具有一组将被跳过的测试,因为它们对于刚开始使用Kubernetes的用户来说没有必要。

  • Hardened(严格):此配置文件不会跳过任何测试。该配置针对高阶用户以及安全专家。

对于每种配置类型,其中一些测试会被标记为不适用,因为它们不适用于RKE集群。

现在我们选择“宽松”配置文件并运行扫描。结果是所有标准RKE集群都通过。

为了看到更多关于测试执行的细节,点击该测试,然后就能显示整个测试列表,包含失败/跳过/通过的信息。

一键运行CIS安全扫描,集群安全无忧!

现在,我们使用“严格”配置文件来执行相同的测试,我们将会看到上次跳过的测试失败。

一键运行CIS安全扫描,集群安全无忧!

如你所见,根据CIS基准测试,失败的结果提供了描述以及补救步骤。这十分有效,因为你不仅可以根据CIS基准了解集群中哪些东西会崩溃,而且还可以根据建议来修复集群。

一键运行CIS安全扫描,集群安全无忧!

加强集群安全性的后续步骤

尽管一键单击就能运行CIS安全扫描,但是能够自动化执行则更好。也可以在Rancher中进行配置。定期进行安全扫描可以让你高枕无忧,也是团队的一针定心剂。如果集群中的确出现了某些不合规的情况,你也能够更快找到它。

现在,如果集群中出现某些不合规的情况怎么办?解决方案很简单:查看Rancher安全加固指南( https://rancher2.docs.rancher.cn/docs/security/hardening-2.3.5/_index )。本指南提供了特定于Rancher的步骤,以使你的集群符合每个CIS检查的要求。Rancher世界一流的支持团队也精通于解决此类问题,十分欢迎你购买我们的订阅服务,详情请添加小助手(微信号:rancher3)咨询。

一键运行CIS安全扫描,集群安全无忧!

推荐阅读

小白也能轻松上手的Prometheus教程

新版Rancher 2.x中文文档出炉,最全面的使用指南来啦!

深入了解CI/CD:工具、方法、环境、基础架构的全面指南

一键运行CIS安全扫描,集群安全无忧!

About Rancher Labs

Rancher Labs由CloudStack之父梁胜创建。旗舰产品Rancher是一个开源的企业级Kubernetes管理平台,实现了Kubernetes集群在混合云+本地数据中心的集中部署与管理。Rancher一向因操作体验的直观、极简备受用户青睐,被Forrester评为2018年全球容器管理平台领导厂商,被Gartner评为2017年全球最酷的云基础设施供应商。

目前Rancher在全球拥有超过三亿的核心镜像下载量,并拥有包括CCTV、中国联通、华为、中国平安、中国人寿、厦门航空、上汽集团、丰田、中联重科、迪斯尼、IBM、Cisco、Nvidia、辉瑞制药等全球著名企业在内的共40000家企业客户。

Rancher已于2020年2月完成了中国本土化和国产化,从2020年3月1日开始,Rancher在中国大陆及港澳台地区的业务,均由全中资公司云澈信息技术(深圳)有限公司承载,并面向中国企业客户提供中国企业版Rancher产品和中国版k3s边缘计算平台。

一键运行CIS安全扫描,集群安全无忧!

点击【阅读原文】,获取生产落地秘籍!

↓↓↓


以上所述就是小编给大家介绍的《一键运行CIS安全扫描,集群安全无忧!》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Web缓存

Web缓存

Duane Wessels / 清华大学 / 2002-11 / 99.00元

When I first sta一起来看看 《Web缓存》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具