trivy operator

導入

Trivy Operator は Trivy を活用して、Kubernetes クラスターのセキュリティ問題を継続的にスキャンします。スキャンは、Kubernetes カスタム リソース定義としてセキュリティ レポートに要約され、Kubernetes API を通じてアクセスできるようになります。 Operator は、Kubernetes の状態変化を監視し、それに応じてセキュリティ スキャンを自動的にトリガーすることでこれを行います。たとえば、新しいポッドが作成されると、脆弱性スキャンが開始されます。このようにして、ユーザーは、 Kubernetes-native方法でさまざまなリソースに関連するリスクを見つけて表示できます。

クラスタ内セキュリティ スキャン

Trivy Operator は、セキュリティ レポートを自動的に生成および更新します。これらのレポートは、Kubernetes クラスター上の新しいワークロードやその他の変更に応じて生成され、次のレポートが生成されます。

• 脆弱性スキャン: Kubernetes ワークロード、コントロール プレーン、ノード コンポーネント (API サーバー、コントローラー マネージャー、kubelet など) の自動脆弱性スキャン

• ConfigAudit スキャン: 事前定義されたルールまたはカスタム Open Policy Agent (OPA) ポリシーを使用した、Kubernetes リソースの自動構成監査。

• 公開されたシークレット スキャン: クラスター内の公開されたシークレットの場所を検出して詳細を示す自動シークレット スキャン。

• RBAC スキャン: 役割ベースのアクセス制御スキャンは、インストールされているさまざまなリソースのアクセス権に関する詳細情報を提供します。

• K8s コア コンポーネントのインフラ評価スキャン Kubernetes インフラ コア コンポーネント (etcd、apiserver、スケジューラー、コントローラー マネージャーなど) の設定と構成。

• k8s の古い API 検証 - configaudit チェックにより、リソース API が廃止され、削除が計画されているかどうかが検証されます。

• コンプライアンスレポート

• NSA、CISA Kubernetes Hardening Guide v1.1 サイバーセキュリティ技術レポートが作成されました。

• CIS Kubernetes Benchmark v1.23 サイバーセキュリティ技術レポートが作成されました。

• Kubernetes pss-baseline、ポッドセキュリティ標準

• Kubernetes pss 制限付き、ポッド セキュリティ標準

• Kubernetes ワークロードの SBOM (ソフトウェア部品表生成)。

• trivy-operator の開発と改善を継続してご希望の場合は、リポジトリにスターを付けてください。 ?

使用法

公式ドキュメントには、詳細なインストール、構成、トラブルシューティング、クイック スタート ガイドが記載されています。

Trivy-operator Operator を静的 YAML マニフェストとともにインストールし、入門ガイドに従って、脆弱性と構成の監査レポートがどのように自動的に生成されるかを確認できます。

クイックスタート

Trivy Operator は、Helm Chart を通じて簡単にインストールできます。 Helm チャートは、次の 2 つのオプションのいずれかでダウンロードできます。

オプション 1: 従来の Helm チャート リポジトリからインストールする

Aqua chart リポジトリを追加します。

   Helm リポジトリ アクアを追加 https://aquasecurity.github.io/helm-charts/
   ヘルム リポジトリの更新

Helm チャートをインストールします。

   Helm install tr​​ivy-operator aqua/trivy-operator
      --namespace trivy-system
      --create-namespace
      --バージョン 0.21.4

オプション 2: OCI レジストリからインストールする (Helm v3.8.0 以降でサポート)

Helm チャートをインストールします。

   helm install tr​​ivy-operator oci://ghcr.io/aquasecurity/helm-charts/trivy-operator
      --namespace trivy-system
      --create-namespace
      --バージョン 0.21.4

これにより、Trivy Helm Chart がtrivy-system名前空間にインストールされ、スキャンのトリガーが開始されます。

状態

新しいリリースと以前のバージョンとの下位互換性を保つよう努めていますが、このプロジェクトはまだ進行中であり、一部の API とカスタム リソース定義は変更される可能性があります。

貢献する

この初期段階では、Trivy-Operator の全体的なコンセプトに関するフィードバックをお待ちしています。将来的には、ユーザーが標準の Kubernetes ネイティブな方法でセキュリティ情報にアクセスできるように、さまざまなセキュリティ ツールを統合するコントリビューションを期待しています。

• 開発環境のセットアップと、私たちが期待するコントリビュート ワークフローについては、「コントリビュート」を参照してください。

• Aqua プロジェクトおよびそのコミュニティとのやり取り中は、当社の行動規範に従っていることを確認してください。

Trivy-Operator は、Aqua Security オープンソース プロジェクトです。
私たちのオープンソースの取り組みとポートフォリオについて学びましょう。
コミュニティに参加し、GitHub Discussions または Slack であらゆる事柄について話し合ってください。