Alauda Security Service
  • Русский

    • Архитектура

    Содержание

    Системная архитектураАбстрактКлючевые компонентыОбзор ScannerИсточники уязвимостейПримечания по развертываниюВнешние интеграцииВзаимодействия компонентовAlauda Security Service со Scanner V4Порты и протоколы по умолчанию

    Системная архитектура

    Абстракт

    В этом документе приведен краткий обзор архитектуры Alauda Security Service для сред Kubernetes.

    Alauda Security Service использует распределенную архитектуру на основе контейнеров для масштабируемой и малозатратной по ресурсам безопасности в кластерах Kubernetes.

    Ключевые компоненты

    • Central Services: Развертываются в одном кластере и предоставляют управление, API и UI (Alauda Security Service Portal). Включают Central, Central DB (PostgreSQL 13) и сканер уязвимостей Scanner V4.
    • Secured Cluster Services: Развертываются в каждом защищаемом кластере. Включают Sensor (мониторинг кластера и применение политик), Admission Controller (допуск по политикам), Collector (сбор данных времени выполнения и сетевых данных), а также необязательные компоненты сканера.

    Обзор Scanner

    • Scanner V4: Сканер по умолчанию и единственный поддерживаемый сканер начиная с версии 4.7. Поддерживает сканирование образов с учетом языка и операционной системы. Состоит из Indexer, Matcher и DB.

    Источники уязвимостей

    • Scanner V4 использует данные об уязвимостях из нескольких источников, включая данные вендоров, OSV, NVD и каналы, специфичные для операционных систем.

    Примечания по развертыванию

    • Operator устанавливает облегченный Scanner V4 в каждом кластере для интегрированного сканирования registry.
    • Развертывания через Helm требуют scannerV4.disable=false, чтобы включить облегченный Scanner V4.
    • Если Central и службы защищенного кластера используют один и тот же namespace, только Central развертывает компоненты Scanner V4.

    Внешние интеграции

    • Сторонние системы (CI/CD, SIEM, логирование, email)
    • roxctl CLI
    • Image registries (автоматическая/ручная интеграция)
    • definitions.stackrox.io (каналы уязвимостей)
    • collector-modules.stackrox.io (модули ядра)

    Точный набор интеграций зависит от модели развертывания и интеграций, настроенных в платформе.

    Взаимодействия компонентов

    Alauda Security Service со Scanner V4

    КомпонентНаправлениеКомпонентОписание
    CentralScanner V4 IndexerИндексация образов и формирование отчетов
    CentralScanner V4 MatcherСопоставление уязвимостей и отчетность
    SensorScanner V4 IndexerДелегированная индексация образов
    Scanner V4 IndexerImage RegistriesЗагружает метаданные и слои образов
    Scanner V4 MatcherScanner V4 IndexerИзвлекает отчеты об индексировании
    Scanner V4 IndexerScanner V4 DBСохраняет результаты индексирования
    Scanner V4 MatcherScanner V4 DBСохраняет и обновляет данные об уязвимостях
    SensorCentralСинхронизация конфигурации и событий
    CollectorSensorОтправляет данные времени выполнения/сети
    Admission controllerSensorПрименение политик и запросы на сканирование
    Admission controllerCentralПрямое взаимодействие, если Sensor недоступен

    Эти взаимодействия носят концептуальный характер. Фактическая топология во время выполнения может различаться в зависимости от того, выполняется ли сканирование локально, делегировано или совместно с Central.

    Порты и протоколы по умолчанию

    СоединениеТипПортПримечания
    Central ↔ Scanner V4 IndexergRPC8443
    Central ↔ SensorTCP/gRPC443Двунаправленное, Sensor инициирует
    Central ↔ CLIgRPC/HTTPS443См. roxctl для параметров
    Central ↔ Vulnerability feedsHTTPS443definitions.stackrox.io
    Collector → SensorgRPC443
    Scanner V4 Indexer → CentralHTTPS443
    Scanner V4 Indexer/Matcher → DBTCP5432
    Sensor ↔ Admission ControllergRPC443Двунаправленное