trivy operator

Введение

Оператор Trivy использует Trivy для постоянного сканирования вашего кластера Kubernetes на наличие проблем безопасности. Сканирования суммируются в отчетах о безопасности в виде определений пользовательских ресурсов Kubernetes, которые становятся доступными через Kubernetes API. Оператор делает это, отслеживая изменения состояния Kubernetes и автоматически запуская в ответ проверки безопасности. Например, сканирование уязвимостей инициируется при создании нового пода. Таким образом, пользователи могут находить и просматривать риски, связанные с различными ресурсами, в Kubernetes-native .

Сканирование безопасности внутри кластера

Trivy Оператор автоматически генерирует и обновляет отчеты о безопасности. Эти отчеты создаются в ответ на новую рабочую нагрузку и другие изменения в кластере Kubernetes, генерируя следующие отчеты:

• Сканирование уязвимостей: автоматическое сканирование уязвимостей для рабочих нагрузок Kubernetes, компонентов плоскости управления и узлов (api-сервер, диспетчер контроллеров, kubelet и т. д.).

• Сканирование ConfigAudit: автоматический аудит конфигурации ресурсов Kubernetes с использованием предопределенных правил или настраиваемых политик агента открытой политики (OPA).

• Сканирование раскрытых секретов: автоматическое сканирование секретов, которое находит и детализирует расположение раскрытых секретов в вашем кластере.

• Сканирование RBAC. Сканирование контроля доступа на основе ролей предоставляет подробную информацию о правах доступа различных установленных ресурсов.

• Оценка инфраструктуры основных компонентов K8s. Сканирование инфраструктурных компонентов Kubernetes (etcd, apiserver, планировщик, контроллер-менеджер и т. д.), настройка и конфигурация.

• Проверка устаревшего API k8s — проверка конфигурации проверит, является ли API ресурса устаревшим и запланировано ли его удаление.

• Отчеты о соответствии

• Подготовлен технический отчет NSA, CISA Kubernetes Hardening Guidance v1.1 по кибербезопасности.

• Подготовлен технический отчет о кибербезопасности CIS Kubernetes Benchmark v1.23.

• Kubernetes pss-baseline, стандарты безопасности Pod

• Kubernetes с ограничением pss, стандарты безопасности Pod

• SBOM (генерация спецификации программного обеспечения) для рабочих нагрузок Kubernetes.

• Пожалуйста, поставьте галочку на репозитории, если хотите, чтобы мы продолжали развивать и улучшать триви-оператор! ?

Использование

Официальная документация содержит подробные инструкции по установке, настройке, устранению неполадок и краткое руководство по началу работы.

Вы можете установить оператор Trivy-operator со статическими манифестами YAML и следовать руководству по началу работы, чтобы увидеть, как автоматически генерируются отчеты об аудите уязвимостей и конфигурации.

Быстрый старт

Trivy Оператор можно легко установить с помощью Helm Chart. Helm Chart можно скачать одним из двух вариантов:

Вариант 1. Установите из традиционного репозитория контрольных диаграмм.

Добавьте репозиторий диаграмм Aqua:

   репозиторий Helm добавить воду https://aquasecurity.github.io/helm-charts/
   обновление репозитория Helm

Установите Helm Chart:

   установка руля trivy-operator aqua/trivy-operator
      --namespace триви-система
      --create-namespace
      --версия 0.21.4

Вариант 2. Установка из реестра OCI (поддерживается в Helm v3.8.0+).

Установите Helm Chart:

   установка шлема trivy-operator oci://ghcr.io/aquasecurity/helm-charts/trivy-operator
      --namespace триви-система
      --create-namespace
      --версия 0.21.4

Это установит Trivy Helm Chart в пространство имен trivy-system и начнет запускать сканирование.

Статус

Хотя мы стараемся обеспечить обратную совместимость новых выпусков с предыдущими версиями, этот проект все еще находится на стадии разработки, и некоторые API и определения пользовательских ресурсов могут измениться.

Содействие

На этом раннем этапе мы будем рады вашим отзывам об общей концепции Trivy-Operator. Со временем нам бы хотелось увидеть вклады, интегрирующие различные инструменты безопасности, чтобы пользователи могли получать доступ к информации о безопасности стандартными, родными для Kubernetes способами.

• См. раздел «Внесение вклада» для получения информации о настройке среды разработки и ожидаемом рабочем процессе внесения вклада.

• Пожалуйста, убедитесь, что вы соблюдаете наш Кодекс поведения при любом взаимодействии с проектами Aqua и их сообществом.

Trivy-Operator — это проект с открытым исходным кодом Aqua Security.
Узнайте о нашей работе и портфолио с открытым исходным кодом.
Присоединяйтесь к сообществу и обсуждайте с нами любые вопросы в обсуждениях GitHub или Slack.