trivy operator

소개

Trivy Operator는 Trivy를 활용하여 Kubernetes 클러스터에서 보안 문제를 지속적으로 검사합니다. 스캔은 Kubernetes API를 통해 액세스할 수 있는 Kubernetes 사용자 정의 리소스 정의로 보안 보고서에 요약됩니다. Operator는 Kubernetes의 상태 변경을 관찰하고 이에 대한 응답으로 보안 검색을 자동으로 트리거하여 이를 수행합니다. 예를 들어 새 포드가 생성되면 취약점 스캔이 시작됩니다. 이러한 방식으로 사용자는 Kubernetes-native 방식으로 다양한 리소스와 관련된 위험을 찾고 볼 수 있습니다.

클러스터 내 보안 검색

Trivy Operator는 보안 보고서를 자동으로 생성하고 업데이트합니다. 이러한 보고서는 Kubernetes 클러스터의 새로운 워크로드 및 기타 변경 사항에 대한 응답으로 생성되며 다음 보고서를 생성합니다.

• 취약점 스캔: Kubernetes 워크로드, 제어 플레인 및 노드 구성 요소(api-서버, 컨트롤러 관리자, kubelet 등)에 대한 자동 취약점 스캔

• ConfigAudit 스캔: 사전 정의된 규칙 또는 사용자 정의 OPA(Open Policy Agent) 정책을 사용하여 Kubernetes 리소스에 대한 자동 구성 감사입니다.

• 노출된 비밀 스캔: 클러스터 내에서 노출된 비밀의 위치를 ​​찾아 자세히 설명하는 자동 비밀 스캔입니다.

• RBAC 스캔: 역할 기반 액세스 제어 스캔은 설치된 다양한 리소스의 액세스 권한에 대한 자세한 정보를 제공합니다.

• K8s 핵심 구성 요소 인프라 평가는 Kubernetes 인프라 핵심 구성 요소(etcd,apiserver,scheduler,controller-manager 등) 설정 및 구성을 검사합니다.

• k8s 오래된 API 유효성 검사 - configaudit 검사를 통해 리소스 API가 더 이상 사용되지 않고 제거 예정인지 확인합니다.

• 규정 준수 보고서

• NSA, CISA Kubernetes 강화 지침 v1.1 사이버 보안 기술 보고서가 생성되었습니다.

• CIS Kubernetes Benchmark v1.23 사이버 보안 기술 보고서가 생성되었습니다.

• Kubernetes pss-baseline, 포드 보안 표준

• Kubernetes pss 제한, 포드 보안 표준

• Kubernetes 워크로드를 위한 SBOM(Software Bill of Materials Generations)입니다.

• Trivy-Operator를 계속 개발하고 개선하려면 저장소에 별표를 표시해 주세요! ?

용법

공식 문서에서는 자세한 설치, 구성, 문제 해결 및 빠른 시작 가이드를 제공합니다.

정적 YAML 매니페스트와 함께 Trivy-operator Operator를 설치하고 시작하기 가이드에 따라 취약성 및 구성 감사 보고서가 자동으로 생성되는 방법을 확인할 수 있습니다.

빠른 시작

Trivy Operator는 Helm Chart를 통해 쉽게 설치할 수 있습니다. Helm Chart는 다음 두 가지 옵션 중 하나로 다운로드할 수 있습니다.

옵션 1: 기존 Helm 차트 저장소에서 설치

Aqua 차트 저장소를 추가합니다.

   helm repo 추가 아쿠아 https://aquasecurity.github.io/helm-charts/
   헬름 저장소 업데이트

Helm 차트를 설치합니다.

   조타 장치 설치 trivy-operator aqua/trivy-operator
      --namespace trivy-system
      --create-네임스페이스
      --버전 0.21.4

옵션 2: OCI 레지스트리에서 설치(Helm v3.8.0+에서 지원됨)

Helm 차트를 설치합니다.

   helm 설치 trivy-operator oci://ghcr.io/aquasecurity/helm-charts/trivy-operator
      --namespace trivy-system
      --create-네임스페이스
      --버전 0.21.4

그러면 trivy-system 네임스페이스에 Trivy Helm Chart가 설치되고 스캔 트리거가 시작됩니다.

상태

새 릴리스가 이전 버전과 호환되도록 노력하고 있지만 이 프로젝트는 아직 배양 중이므로 일부 API 및 사용자 정의 리소스 정의가 변경될 수 있습니다.

기여

이 초기 단계에서 우리는 Trivy-Operator의 전반적인 개념에 대한 귀하의 피드백을 환영합니다. 시간이 지남에 따라 사용자가 표준 Kubernetes 기본 방식으로 보안 정보에 액세스할 수 있도록 다양한 보안 도구를 통합하는 기여를 보고 싶습니다.

• 개발 환경 설정 및 우리가 기대하는 기여 워크플로에 대한 자세한 내용은 기여를 참조하세요.

• Aqua 프로젝트 및 해당 커뮤니티와 상호 작용하는 동안 당사의 행동 강령을 준수하는지 확인하십시오.

Trivy-Operator는 Aqua Security 오픈 소스 프로젝트입니다.
오픈 소스 작업 및 포트폴리오에 대해 알아보세요.
커뮤니티에 가입하고 GitHub 토론 또는 Slack에서 모든 문제에 관해 이야기해 보세요.