國內外的用戶都在使用雲原生技術來提高應用的開發效率和可管理性,不少用戶運用開源Harbor製品倉庫,管理敏捷軟件供應鏈中雲原生應用的鏡像,包括鏡像存儲、鏡像掃描和鏡像簽名等功能。
Harbor已經提供了一些高級的安全功能,例如,對鏡像進行掃描,以發現潛在的安全問題。Harbor的鏡像掃描功能本質上屬於靜態掃描,即通過Trivy,Clair,雅客雲(Arksec)等漏洞掃描器(scanner),對鏡像進行由事件觸發或週期性的掃描。靜態掃描可檢測到鏡像文件中潛在的威脅,但部分有風險的鏡像仍有可能通過掃描器的檢測,並被部署到Kubernetes集羣中,從而引入了運行時的風險。
舉個例子,Harbor對某個鏡像進行了掃描,檢測結果是該鏡像達到一定的安全級別,允許它上線運行。過了一段時間,有個新的CVE漏洞被發現,恰好該鏡像包含了這個漏洞,在漏洞修復前Harbor不再容許該鏡像上線。但是對已經處於運行態的鏡像來說,Harbor則無能爲力。
鑑於Harbor重點在雲原生應用的靜態安全保護,面對日趨嚴重的“供應鏈攻擊”的風險,用戶需要提高另一方面的安全能力,即動態安全保護(運行時安全保護)。
爲此,我們推出了全新的開源項目CNSI, 即雲原生安全檢測器(Cloud Native Security Inspector),項目代號: Narrows。在Harbor的基礎上,Narrows增強了動態安全方面的能力,它允許用戶對Kubernetes集羣和其中的工作負載進行運行時的安全態勢評估。鏡像倉庫中的鏡像可以在被引入到Kubernetes的集羣時被掃描,同時Kubernetes集羣本身的配置和狀態一併被掃描並生成安全報告。從而讓管理員發現、標記集羣中所存在的安全漏洞,並對有漏洞的工作負載進行隔離。
Narrows所帶來的運行時動態安全掃描能力非常關鍵,它幫助管理員對Kubernetes集羣和其上工作負載有更好的安全狀態控制和感知,而不僅僅是隻關注工作負載的生命週期。
Narrows提供的能力包括:
· 對運行時的漏洞動態檢測和感知
· 發現Kubernetes集羣的錯誤配置
· 在工作負載運行時,終止進行中的攻擊
· 對掃描報告進行彙總、聚合和分析並提供開放的API接口
· 與Harbor無縫的集成。對於外部公共鏡像倉庫的鏡像,可以自動同步到Harbor中,以生成安全數據。
Narrows與Harbor進行了集成,如上圖。Narrows允許用戶通過簡單的界面來定義對Kubernetes集羣中工作負載的安全期望,並根據用戶指定的掃描器和掃描週期對工作負載進行掃描。對於不滿足安全要求的工作負載進行隔離。
當前版本的Narrows支持三種掃描器,分別是:
1.Image scanner (鏡像掃描器)
將Kubernetes集羣中鏡像的安全漏洞等級與用戶期望的安全漏洞等級進行比較,可以對不滿足安全預期的工作負載進行隔離。
2.Kubebench scanner (Kubebench掃描器)
使用kubebench對Kuberentes集羣的配置進行掃描,發現不合理的配置項並提供修改建議。
3.Risk scanner (運行風險掃描器)
對於工作負載中所包含的軟件包進行掃描,並提供對應的CVE詳情。
我們計劃通過接入新的安全數據源和引入新的掃描器來增強Narrows的檢測能力。與此同時,我們將進一步深入研究並擴展對安全漏洞和不安全負載的處理能力。在安全數據分析洞察部分,我們期望可以將多維度的安全數據進行綜合彙總,按照不同的場景和用戶的偏好進行安全風險排序、篩選和結果呈現。
Narrows已經由VMware公司開源,採用商業化友好的阿帕奇 2.0軟件許可,方便用戶作擴展和創新。在社區方面,雅客雲(Arksec)在Narrows最新發布中貢獻了排序功能,可結合容器運行時的掃描對安全漏洞進行優先級排序。雅客雲也將持續參與Narrows項目,計劃貢獻多項安全能力。
Narrows已經開源,項目的Github地址是:
https://github.com/vmware-tanzu/cloud-native-security-inspector
歡迎廣大用戶參與到我們的開源項目中,並期待您的使用和反饋。如果您對Narrows開源項目感興趣,希望與我們更密切地合作,或者希望進行測試和試用、提出建議或bug,請發郵件至 narrows @ vmware.com。
內容來源|公衆號:VMware 中國研發中心