应用巡检
最近更新时间:2023.07.06 10:34:13
首次发布时间:2022.03.04 23:10:39
应用巡检基于业界的一些安全要求规范,结合容器安全最佳实践,为用户提供应用安全巡检能力。应用巡检可以及时发现并阻止用户部署的不安全配置,并提示用户进行修复,以免应用被攻击或利用,保障用户业务稳定、安全地运行。
应用巡检弥补了基线巡检未覆盖的 Workload、Pod、ConfigMap 等 Kubernetes 原生资源的安全扫描检查。可通过巡检系统,帮助用户发现 Kubernetes 原生资源中潜在的安全隐患并给出修复建议,有效提升容器集群云原生应用的安全性。
前提条件
- 已创建集群,且集群内已存在 Workload、Pod 或 ConfigMap 等 Kubernetes 资源。详细操作,请参见 创建集群、工作负载、创建配置项。
- 确保当前集群已安装应用巡检所需的 application-inspector 组件,为集群提供应用安全巡检能力。详细操作,请参见 安装组件。
说明
后续卸载该组件后,系统会自动删除所有应用巡检数据。
配置巡检策略
执行巡检之前,可以配置巡检策略。
- 登录 容器服务控制台。
- 单击左侧导航栏中的 集群。
- 在集群列表页面,单击目标集群。
- 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检,单击 策略配置。
- 在 策略配置 对话框,按需配置参数。
参数 描述 周期巡检 打开按钮,可按照固定周期进行应用巡检。详细的配置说明和操作步骤,请参见本文下方 配置周期巡检。 巡检项
容器服务提供 基线策略、加固策略、漏洞缓解策略 三种巡检分类,各分类具有不同的巡检项,请按需勾选巡检项。
说明
- 已配置的巡检项,对 立即巡检 和 周期巡检 均生效。
- 鼠标悬浮到具体巡检项后,可查看该巡检项的策略说明。
配置立即巡检
手动立即触发一次应用巡检。可参考以下步骤执行立即巡检:
- 登录 容器服务控制台。
- 单击左侧导航栏中的 集群。
- 在集群列表页面,单击目标集群。
- 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检,单击 立即巡检。
- 在系统弹出的提示框中,确认巡检任务相关提示信息。
- 单击 确定,开始巡检。
配置周期巡检
设置每月或每周指定日期的固定时间点,周期性自动触发应用巡检任务。可参考以下步骤配置周期巡检:
- 登录 容器服务控制台。
- 单击左侧导航栏中的 集群。
- 在集群列表页面,单击目标集群。
- 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检,单击 策略配置。
- 在 策略配置 对话框,开启 周期巡检,并配置巡检周期。
巡检周期支持 每周 或 每月,同时配置具体的时间。巡检项 的配置,请参见本文上方 配置巡检策略。
- 单击 确定,保存周期巡检配置。
配置完成后,系统将按巡检周期,自动触发巡检任务并输出报告。应用巡检仅保留最近一次巡检报告,请及时查看巡检报告。
查看巡检报告
巡检完成并输出巡检报告后,可按需筛选风险类型、资源级别等,查看巡检结果。
- 登录 容器服务控制台。
- 单击左侧导航栏中的 集群。
- 在集群列表页面,单击目标集群。
- 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检。
- 按需筛选 风险类型、资源级别,查看巡检结果。
- 单击巡检巡检资源名称右侧 操作 列的 详情,支持查看该资源的各个巡检项结果。
- 单击巡检项后面的 详情,支持查看各个巡检项相关的 策略说明、安全风险说明、修复建议 和 备注。
- 单击巡检巡检资源名称右侧 操作 列的 详情,支持查看该资源的各个巡检项结果。