评估安全风险
Alauda 容器安全评估并排名您的部署安全风险,突出需要关注的漏洞、配置和运行时活动。
目录
风险视图
风险视图列出了所有部署,按多因素风险指标(策略违规、镜像内容、配置等)排序。顶部的部署风险最高。
每个部署显示:
- 名称
- 创建时间
- 集群
- 命名空间
- 优先级
功能:
- 排序和过滤违规
- 从过滤结果创建新策略
要查看更多详细信息,请选择一个部署。
从风险视图创建策略
您可以根据风险视图中的过滤器创建安全策略。
操作步骤:
- 在门户中转到风险。
- 应用过滤器。
- 点击新策略并填写必填字段。
注意: 只有集群、命名空间、部署和标签过滤器会转换为策略范围。其他过滤器可能会被丢弃或修改。
过滤器映射表
| 搜索属性 | 策略标准 |
|---|---|
| 添加能力 | 添加能力 |
| 注释 | 不允许的注释 |
| CPU 核心限制 | 容器 CPU 限制 |
| CPU 核心请求 | 容器 CPU 请求 |
| CVE | CVE |
| CVE 发布日期 | ✕ 被丢弃 |
| CVE 暂停 | ✕ 被丢弃 |
| CVSS | CVSS |
| 集群 | ⟳ 转换为范围 |
| 组件 | 镜像组件(名称) |
| 组件版本 | 镜像组件(版本) |
| 部署 | ⟳ 转换为范围 |
| 部署类型 | ✕ 被丢弃 |
| Dockerfile 指令关键字 | Dockerfile 行(关键字) |
| Dockerfile 指令值 | Dockerfile 行(值) |
| 删除能力 | ✕ 被丢弃 |
| 环境变量键 | 环境变量(键) |
| 环境变量值 | 环境变量(值) |
| 环境变量来源 | 环境变量(来源) |
| 暴露节点端口 | ✕ 被丢弃 |
| 暴露服务 | ✕ 被丢弃 |
| 暴露服务端口 | ✕ 被丢弃 |
| 暴露级别 | 端口暴露 |
| 外部主机名 | ✕ 被丢弃 |
| 外部 IP | ✕ 被丢弃 |
| 镜像 | ✕ 被丢弃 |
| 镜像命令 | ✕ 被丢弃 |
| 镜像创建时间 | 自镜像创建以来的天数 |
| 镜像入口点 | ✕ 被丢弃 |
| 镜像标签 | 不允许的镜像标签 |
| 镜像操作系统 | 镜像操作系统 |
| 镜像拉取密钥 | ✕ 被丢弃 |
| 镜像注册表 | 镜像注册表 |
| 镜像远程 | 镜像远程 |
| 镜像扫描时间 | 自镜像上次扫描以来的天数 |
| 镜像标签 | 镜像标签 |
| 镜像最高 CVSS | ✕ 被丢弃 |
| 镜像用户 | ✕ 被丢弃 |
| 镜像卷 | ✕ 被丢弃 |
| 标签 | ⟳ 转换为范围 |
| 最大暴露级别 | ✕ 被丢弃 |
| 内存限制(MB) | 容器内存限制 |
| 内存请求(MB) | 容器内存请求 |
| 命名空间 | ⟳ 转换为范围 |
| 命名空间 ID | ✕ 被丢弃 |
| Pod 标签 | ✕ 被丢弃 |
| 端口 | 端口 |
| 端口协议 | 协议 |
| 优先级 | ✕ 被丢弃 |
| 特权 | 特权 |
| 进程祖先 | 进程祖先 |
| 进程参数 | 进程参数 |
| 进程名称 | 进程名称 |
| 进程路径 | ✕ 被丢弃 |
| 进程标签 | ✕ 被丢弃 |
| 进程 UID | 进程 UID |
| 只读根文件系统 | 只读根文件系统 |
| 秘密 | ✕ 被丢弃 |
| 秘密路径 | ✕ 被丢弃 |
| 服务账户 | ✕ 被丢弃 |
| 服务账户权限级别 | 最小 RBAC 权限级别 |
| 容忍键 | ✕ 被丢弃 |
| 容忍值 | ✕ 被丢弃 |
| 卷目标 | 卷目标 |
| 卷名称 | 卷名称 |
| 卷只读 | 可写卷 |
| 卷来源 | 卷来源 |
| 卷类型 | 卷类型 |
范围转换示例:
通过 Cluster:A,B 和 Namespace:Z 过滤创建:
- (Cluster=A AND Namespace=Z)
- (Cluster=B AND Namespace=Z)
风险详细面板
选择一个部署会打开风险详细信息面板,包含多个选项卡。
风险指标选项卡
显示:
- 策略违规
- 可疑进程执行
- 镜像漏洞
- 服务配置
- 服务可达性
- 对攻击者有用的组件
- 镜像中的组件数量
- 镜像新鲜度
- RBAC 配置
仅显示所选部署的相关部分。
部署详细信息选项卡
提供:
- 部署 ID
- 命名空间
- 更新时间(时间戳)
- 部署类型
- 副本
- 标签
- 集群名称
- 注释
- 服务账户
容器配置:
- 镜像名称
- 资源:CPU/内存请求和限制
- 挂载:名称、来源、目标、类型
- 秘密:Kubernetes 秘密和 X.509 证书详细信息
安全上下文:
- 特权:如果是特权则为
true
进程发现选项卡
列出每个容器中执行的所有二进制文件,按部署汇总:
- 二进制名称
- 容器
- 参数
- 时间(最近)
- Pod ID
- UID
在过滤器栏中使用 Process Name:<name> 进行搜索。
事件时间线
事件时间线显示所选部署的事件:
- 进程活动
- 策略违规
- 容器重启/终止
事件以图标形式出现在时间线上。悬停以获取详细信息。您可以:
- 显示事件类型的图例
- 导出为 PDF/CSV
- 过滤事件类型
- 展开以查看每个容器的事件
一个小地图控制可见范围。
注意:
- 在容器重启时,每个容器最多显示 10 个非活动实例;之前实例的进程活动不会被跟踪。
- 每个 Pod 仅显示每个(进程名称、参数、UID)的最新执行。
- 仅显示活动 Pod 的事件。
- 时间戳经过调整以确保准确性。