雲原生安全檢測器 Narrows釋出,在Harbor上增加容器安全的動態掃描

語言: CN / TW / HK

國內外的使用者都在使用雲原生技術來提高應用的開發效率和可管理性,不少使用者運用開源Harbor製品倉庫,管理敏捷軟體供應鏈中雲原生應用的映象,包括映象儲存、映象掃描和映象簽名等功能。

Harbor已經提供了一些高階的安全功能,例如,對映象進行掃描,以發現潛在的安全問題。Harbor的映象掃描功能本質上屬於靜態掃描,即通過Trivy,Clair,雅客雲(Arksec)等漏洞掃描器(scanner),對映象進行由事件觸發或週期性的掃描。靜態掃描可檢測到映象檔案中潛在的威脅,但部分有風險的映象仍有可能通過掃描器的檢測,並被部署到Kubernetes叢集中,從而引入了執行時的風險。

舉個例子,Harbor對某個映象進行了掃描,檢測結果是該映象達到一定的安全級別,允許它上線執行。過了一段時間,有個新的CVE漏洞被發現,恰好該映象包含了這個漏洞,在漏洞修復前Harbor不再容許該映象上線。但是對已經處於執行態的映象來說,Harbor則無能為力。

鑑於Harbor重點在雲原生應用的靜態安全保護,面對日趨嚴重的“供應鏈攻擊”的風險,使用者需要提高另一方面的安全能力,即動態安全保護(執行時安全保護)。


為此,我們推出了全新的開源專案CNSI, 即雲原生安全檢測器(Cloud Native Security Inspector),專案代號: Narrows。在Harbor的基礎上,Narrows增強了動態安全方面的能力,它允許使用者對Kubernetes叢集和其中的工作負載進行執行時的安全態勢評估。映象倉庫中的映象可以在被引入到Kubernetes的叢集時被掃描,同時Kubernetes叢集本身的配置和狀態一併被掃描並生成安全報告。從而讓管理員發現、標記叢集中所存在的安全漏洞,並對有漏洞的工作負載進行隔離。

Narrows所帶來的執行時動態安全掃描能力非常關鍵,它幫助管理員對Kubernetes叢集和其上工作負載有更好的安全狀態控制和感知,而不僅僅是隻關注工作負載的生命週期。

Narrows提供的能力包括:

·      對執行時的漏洞動態檢測和感知

·      發現Kubernetes叢集的錯誤配置

·      在工作負載執行時,終止進行中的攻擊

·      對掃描報告進行彙總、聚合和分析並提供開放的API介面

·      與Harbor無縫的整合。對於外部公共映象倉庫的映象,可以自動同步到Harbor中,以生成安全資料。

Narrows與Harbor進行了整合,如上圖。Narrows允許使用者通過簡單的介面來定義對Kubernetes叢集中工作負載的安全期望,並根據使用者指定的掃描器和掃描週期對工作負載進行掃描。對於不滿足安全要求的工作負載進行隔離。

當前版本的Narrows支援三種掃描器,分別是:

1.Image scanner (映象掃描器)

將Kubernetes叢集中映象的安全漏洞等級與使用者期望的安全漏洞等級進行比較,可以對不滿足安全預期的工作負載進行隔離。

2.Kubebench scanner (Kubebench掃描器)

使用kubebench對Kuberentes叢集的配置進行掃描,發現不合理的配置項並提供修改建議。

3.Risk scanner (執行風險掃描器)

對於工作負載中所包含的軟體包進行掃描,並提供對應的CVE詳情。

我們計劃通過接入新的安全資料來源和引入新的掃描器來增強Narrows的檢測能力。與此同時,我們將進一步深入研究並擴充套件對安全漏洞和不安全負載的處理能力。在安全資料分析洞察部分,我們期望可以將多維度的安全資料進行綜合彙總,按照不同的場景和使用者的偏好進行安全風險排序、篩選和結果呈現。

Narrows已經由VMware公司開源,採用商業化友好的阿帕奇 2.0軟體許可,方便使用者作擴充套件和創新。在社群方面,雅客雲(Arksec)在Narrows最新發布中貢獻了排序功能,可結合容器執行時的掃描對安全漏洞進行優先順序排序。雅客雲也將持續參與Narrows專案,計劃貢獻多項安全能力。


Narrows已經開源,專案的Github地址是:

https://github.com/vmware-tanzu/cloud-native-security-inspector

歡迎廣大使用者參與到我們的開源專案中,並期待您的使用和反饋。如果您對Narrows開源專案感興趣,希望與我們更密切地合作,或者希望進行測試和試用、提出建議或bug,請發郵件至 narrows @ vmware.com。

內容來源|公眾號:VMware 中國研發中心

「其他文章」