You need to enable JavaScript to run this app.
导航
应用巡检
最近更新时间:2023.07.06 10:34:13首次发布时间:2022.03.04 23:10:39

应用巡检基于业界的一些安全要求规范,结合容器安全最佳实践,为用户提供应用安全巡检能力。应用巡检可以及时发现并阻止用户部署的不安全配置,并提示用户进行修复,以免应用被攻击或利用,保障用户业务稳定、安全地运行。

应用巡检弥补了基线巡检未覆盖的 Workload、Pod、ConfigMap 等 Kubernetes 原生资源的安全扫描检查。可通过巡检系统,帮助用户发现 Kubernetes 原生资源中潜在的安全隐患并给出修复建议,有效提升容器集群云原生应用的安全性。

前提条件

  • 已创建集群,且集群内已存在 Workload、Pod 或 ConfigMap 等 Kubernetes 资源。详细操作,请参见 创建集群工作负载创建配置项
  • 确保当前集群已安装应用巡检所需的 application-inspector 组件,为集群提供应用安全巡检能力。详细操作,请参见 安装组件

    说明

    后续卸载该组件后,系统会自动删除所有应用巡检数据。

配置巡检策略

执行巡检之前,可以配置巡检策略。

  1. 登录 容器服务控制台
  2. 单击左侧导航栏中的 集群
  3. 在集群列表页面,单击目标集群。
  4. 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检,单击 策略配置
  5. 策略配置 对话框,按需配置参数。
    参数描述
    周期巡检打开按钮,可按照固定周期进行应用巡检。详细的配置说明和操作步骤,请参见本文下方 配置周期巡检

    巡检项

    容器服务提供 基线策略加固策略漏洞缓解策略 三种巡检分类,各分类具有不同的巡检项,请按需勾选巡检项。

    说明

    • 已配置的巡检项,对 立即巡检周期巡检 均生效。
    • 鼠标悬浮到具体巡检项后,可查看该巡检项的策略说明。

配置立即巡检

手动立即触发一次应用巡检。可参考以下步骤执行立即巡检:

  1. 登录 容器服务控制台
  2. 单击左侧导航栏中的 集群
  3. 在集群列表页面,单击目标集群。
  4. 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检,单击 立即巡检
  5. 在系统弹出的提示框中,确认巡检任务相关提示信息。
    alt
  6. 单击 确定,开始巡检。

配置周期巡检

设置每月或每周指定日期的固定时间点,周期性自动触发应用巡检任务。可参考以下步骤配置周期巡检:

  1. 登录 容器服务控制台
  2. 单击左侧导航栏中的 集群
  3. 在集群列表页面,单击目标集群。
  4. 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检,单击 策略配置
  5. 策略配置 对话框,开启 周期巡检,并配置巡检周期。
    巡检周期支持 每周每月,同时配置具体的时间。巡检项 的配置,请参见本文上方 配置巡检策略
    alt
  6. 单击 确定,保存周期巡检配置。
    配置完成后,系统将按巡检周期,自动触发巡检任务并输出报告。应用巡检仅保留最近一次巡检报告,请及时查看巡检报告。

查看巡检报告

巡检完成并输出巡检报告后,可按需筛选风险类型、资源级别等,查看巡检结果。

  1. 登录 容器服务控制台
  2. 单击左侧导航栏中的 集群
  3. 在集群列表页面,单击目标集群。
  4. 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检
  5. 按需筛选 风险类型资源级别,查看巡检结果。
    • 单击巡检巡检资源名称右侧 操作 列的 详情,支持查看该资源的各个巡检项结果。
      alt
    • 单击巡检项后面的 详情,支持查看各个巡检项相关的 策略说明安全风险说明修复建议备注
      alt