云原生安全检测器 Narrows发布,在Harbor上增加容器安全的动态扫描

news2024/11/15 8:03:35

国内外的用户都在使用云原生技术来提高应用的开发效率和可管理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描和镜像签名等功能。

Harbor 已经提供了一些高级的安全功能,例如,对镜像进行扫描,以发现潜在的安全问题。Harbor 的镜像扫描功能本质上属于静态扫描,即通过 Trivy,Clair,雅客云 (Arksec) 等漏洞扫描器(scanner),对镜像进行由事件触发或周期性的扫描。静态扫描可检测到镜像文件中潜在的威胁,但部分有风险的镜像仍有可能通过扫描器的检测,并被部署到 Kubernetes 集群中,从而引入了运行时的风险。

举个例子,Harbor 对某个镜像进行了扫描,检测结果是该镜像达到一定的安全级别,允许它上线运行。过了一段时间,有个新的 CVE 漏洞被发现,恰好该镜像包含了这个漏洞,在漏洞修复前 Harbor 不再容许该镜像上线。但是对已经处于运行态的镜像来说,Harbor 则无能为力。

鉴于 Harbor 重点在云原生应用的静态安全保护,面对日趋严重的 “供应链攻击” 的风险,用户需要提高另一方面的安全能力,即动态安全保护(运行时安全保护)。

为此,我们推出了全新的开源项目 **CNSI, 即云原生安全检测器(Cloud Native Security Inspector),项目代号: Narrows。**在 Harbor 的基础上,Narrows 增强了动态安全方面的能力,它允许用户对 Kubernetes 集群和其中的工作负载进行运行时的安全态势评估。镜像仓库中的镜像可以在被引入到 Kubernetes 的集群时被扫描,同时 Kubernetes 集群本身的配置和状态一并被扫描并生成安全报告。从而让管理员发现、标记集群中所存在的安全漏洞,并对有漏洞的工作负载进行隔离。

Narrows 所带来的运行时动态安全扫描能力非常关键,它帮助管理员对 Kubernetes 集群和其上工作负载有更好的安全状态控制和感知,而不仅仅是只关注工作负载的生命周期。

Narrows 提供的能力包括:

・ 对运行时的漏洞动态检测和感知
・ 发现 Kubernetes 集群的错误配置
・ 在工作负载运行时,终止进行中的攻击
・ 对扫描报告进行汇总、聚合和分析并提供开放的 API 接口
・ 与 Harbor 无缝的集成。对于外部公共镜像仓库的镜像,可以自动同步到 Harbor 中,以生成安全数据。

在这里插入图片描述

Narrows 与 Harbor 进行了集成,如上图。Narrows 允许用户通过简单的界面来定义对 Kubernetes 集群中工作负载的安全期望,并根据用户指定的扫描器和扫描周期对工作负载进行扫描。对于不满足安全要求的工作负载进行隔离。

当前版本的 Narrows 支持三种扫描器,分别是:

1.Image scanner (镜像扫描器)
将 Kubernetes 集群中镜像的安全漏洞等级与用户期望的安全漏洞等级进行比较,可以对不满足安全预期的工作负载进行隔离。

2.Kubebench scanner (Kubebench 扫描器)
使用 kubebench 对 Kuberentes 集群的配置进行扫描,发现不合理的配置项并提供修改建议。

3.Risk scanner (运行风险扫描器)
对于工作负载中所包含的软件包进行扫描,并提供对应的 CVE 详情。

在这里插入图片描述

我们计划通过接入新的安全数据源和引入新的扫描器来增强 Narrows 的检测能力。与此同时,我们将进一步深入研究并扩展对安全漏洞和不安全负载的处理能力。在安全数据分析洞察部分,我们期望可以将多维度的安全数据进行综合汇总,按照不同的场景和用户的偏好进行安全风险排序、筛选和结果呈现。

Narrows 已经由 VMware 公司开源,采用商业化友好的阿帕奇 2.0 软件许可,方便用户作扩展和创新。在社区方面,雅客云 (Arksec) 在 Narrows 最新发布中贡献了排序功能,可结合容器运行时的扫描对安全漏洞进行优先级排序。雅客云也将持续参与 Narrows 项目,计划贡献多项安全能力。

Narrows 已经开源,项目的 Github 地址是:
https://github.com/vmware-tanzu/cloud-native-security-inspector

欢迎广大用户参与到我们的开源项目中,并期待您的使用和反馈。如果您对 Narrows 开源项目感兴趣,希望与我们更密切地合作,或者希望进行测试和试用、提出建议或 bug,请发邮件至 narrows @ http://vmware.com。

内容来源|公众号:VMware 中国研发中心

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/351217.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

webshell免杀之函数与变量玩法

webshell免杀之函数与变量玩法 前言 前文列举了一些用符号免杀的例子,此篇文章就以函数和变量来尝试下免杀。 本文以PHP为例,用PHP中函数和变量及语法特性,在不隐藏函数关键字情况下进行免杀。 动态函数 PHP中支持一个功能叫 variable fu…

【Linux】-- 什么是多线程

目录 如何理解线程 Linux中线程概念的建立 Linux特有的方案 重新理解进程 总结 pthread 线程库 介绍 创建简易线程 - 加深理解 使用 总结 线程的优点 线程的缺点 如何理解线程 线程在进程内部执行,是操作系统调用的基本单位。 #问:什么是线程…

EdgeChrome浏览器暗模式设置

作为程序媛,希望所有的页面都是暗黑模式,重度强迫症患者。 1.## Edge浏览器暗黑模式设置 第一步: 打开Edge浏览器,点击界面右上角的三点图标。 第二步: 点击“设置” 第三步:点击,左侧界面的“…

【C++】string类(简介,接口,oj 包学包会)

🍅之前学习过类和对象,明确了C是面向对象编程,那不得不提常见对象——字符串 目录 ☃️1.基本介绍 ☃️2.string中金典常见接口 🐝2.1 reserve()和resize()(capacity()和size()) 🐝2.2 迭…

深入浅出带你学习无参RCE

前言 无参RCE,顾名思义就是当我们不能传入参数的情况下进行命令执行,因为一般情况下命令执行必须是要含有参数的,本文会就着无参RCE问题带大家学习CTF中常见的无参RCE方式及用法,下面我们展开文章来讲解一下。 基础知识 首先我们要了解&am…

Revit剖面操作:怎么做折线剖面和快速剖面

一、Revit中如何做折线剖面 在绘图过程中,有时候根据实际情况需要绘制折线剖面,这里就简单介绍一些折线剖面的绘制方法。 1、选择视图选项卡中“剖面”绘制剖面,如图1所示。 2、选中“剖面”,点击右上角“拆分线段”,如…

ctf-show-misc-游戏题

目录前言Misc22超级玛丽魂斗罗游戏flag 终结篇加油各位( •̀ ω •́ )y 期待与君再相逢前言首先感谢ctf平台和出题的大佬其次感谢各位读者,对我的支持( •̀ ω •́ )y 有什么问题和建议可以私聊我本次出了一个专题,就是游戏专题 把所以关于游戏杂项的…

如何提高自动化测试覆盖率

自动化测试一直是测试人员的核心技能,也是测试的重要手段之一。尤其是在今年所谓的互联网寒冬的行情下,各大企业对测试人员的技术水平要求的很高,而测试人员的技术水平主要集中在三大自动化测试领域,再加测试辅助脚本的编写&#…

关于 DataLeap 中的 Notebook,你想知道的都在这

更多技术交流、求职机会,欢迎关注字节跳动数据平台微信公众号,回复【1】进入官方交流群 DataLeap 是火山引擎数智平台 VeDI 旗下的大数据研发治理套件产品,帮助用户快速完成数据集成、开发、运维、治、资产、安全等全套数据中台建设&#xff…

java-spring_bean实例化

bean是如何创建的实例化bean的三种方式构造方法静态工厂(了解)实例工厂与FactoryBean实例工厂FactoryBeanbean是如何创建的实例化bean的三种方式 构造方法 bean本质上就是对象,创建bean使用构造方法完成 提供可访问的构造方法 public clas…

现实版“狂飙”上演,背后有哪些猫腻?

目录 披着电商外衣行洗黑钱之实 电商平台如何防范黑灰产作恶 最近热播的电视剧《狂飙》中有这样一个故事情节,刑满释放的唐小虎出狱之后,大哥高启强就大方的赠予唐小虎一家游戏厅。但其表面上是游戏厅,实际上背后却暗藏赌场。而在后来的剧情…

<<Java开发环境配置>>5-MySQL安装教程(绿色版)

一.MySQL绿色版安装: 1.直接解压下载的ZIP文件到对应的目录下(切记安装目录不要有中文); 如图:我的安装目录:D:Program Files 2.创建配置文件: 在MySQL安装目录下,创建一个my.ini配置文件,然后在里面添加以下内容(别忘了MySQL安装目录要改成…

基于单片机的温度控制系统设计(32+WIFI+蓝牙版)-实物设计

编号:M22033-04M设计简介:基础功能:1、可以通过温度传感器检测温湿度2、可以通过按键设置温度阈值3、当温度超过阈值时,蜂鸣器报警扩展功能:1、通过蓝牙连接手机并通过手机实现监控2、通过WiFi连接手机并通过手机实现监…

程序员一般通过什么途径接私活?

判断私活是否靠谱的通用标准: 1.钱款是否有担保,能做到“钱和代码两清” 2.项目是否真实,需求文档清晰,结款时间一目了然 3.项目来源是否可靠,渠道是否正规接私活的途径主要包括: 1.熟人/朋友介绍。这样的…

transformer总结

1.注意力机制 意义:人类的注意力机制极大提高了信息处理的效率和准确性。 公式: 1)自注意力机制 b都是在考虑了所有a的情况下生成的。 以产生b1向量为例: 1.在a这个序列中,找到与a1相关的其他向量 2.每个向量与a1关联的程度&a…

网络编程套接字(上篇)UDP实现简易多人聊天室

目录 背景知识 主机间通信本质 socket 端口号特点: 为什么不用进程pid? 网络字节序 socket编程接口API sockaddr结构 ​编辑 简单UDP网络程序 了解UDP协议 简易多人聊天室实现 服务端代码: 客户端代码: 背景知识 主…

MySQL第六章第四次作业

学生表:Student (Sno, Sname, Ssex , Sage, Sdept) 学号,姓名,性别,年龄,所在系 Sno为主键 课程表:Course (Cno, Cname,) 课程号,课程名 Cno为主键 学生选课表:SC (Sno, Cno, Score)…

java切换版本等注意事项

启动java工具,命令行为:java -jar xxx.jar 注意burpsuite,behinder需要jdk,如果是这个例子,jdk-11.0.12,shiro_attack_2.2需要jdk版本jdk1.8.0_291。 jdk版本切换方式: 编辑~目录…

教育舆情监测关键词有哪些,TOOM教育舆情监测系统流程?

教育舆情监测是指对教育领域的舆情进行收集、分析和处理的过程。舆情是指公众在各种渠道上对教育政策、教育机构、教育事件等方面的言论、态度和情绪。通过对教育舆情的监测和分析,可以了解公众对教育行业的看法和反应,提高对教育行业的管控能力&#xf…

MFC入门

1.什么是MFC?全称是Microsoft Foundation Class Library,我们称微软基础类库。它封装了windows应用程序的各种API以及相关机制的C类库MFC是一个大的类库MFC是一个应用程序框架MFC类库常用的头文件afx.h-----将各种MFC头文件包含在内afxwin.h-------包含了各种MFC窗…