针对Kubernetes的自动化配置安全检测方法及系统技术方案

本发明专利技术提供了一种针对Kubernetes的自动化配置安全检测方法及系统，包括如下步骤：定义如下安全配置检测规则：Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则；获取Kubernetes环境的基础配置信息，检查数据文件权限、参数配置以及yaml配置文件，根据获取的目标环境设置进行规则匹配；对所述基线测试步骤的检测结果进行整理和分析。本发明专利技术实现了在对已有基础配置相关规则检测的基础上，对Kubernetes环境的安全配置进行更加全面的检测。加全面的检测。加全面的检测。

【技术实现步骤摘要】
针对Kubernetes的自动化配置安全检测方法及系统


[0001]本专利技术涉及网络安全、虚拟化
，具体地，涉及针对Kubernetes的自动化配置安全检测方法及系统。

技术介绍

[0002]随着虚拟化技术的日益发展，作为生产级容器编排引擎的Kubernetes也得到广泛的使用，根据调查目前已经达到了48％的采用率。此类容器编排引擎的安全性问题逐渐成为关注的焦点，因为企业通常会将各种关键服务和数据部署在Kubernetes集群中，为了保障企业存放在云上的重要服务和数据的安全性，需要避免容器逃逸这类风险的发生。而由于容器安全配置不当也许会导致严重安全漏洞，因此针对容器在运行前阶段的基线检测是非常必要的。
[0003]目前的检测方法通常是基于CIS Kubernetes安全标准，从master节点服务、node节点服务以及安全控制等方面，对Kubernetes环境的基础配置检测存在的安全问题。此类方法的问题是，对于在Kubernetes环境用户实际使用过程中个性化配置的众多Pod，仅根据相对单一、笼统的安全标准的检测规则描述，难以做到精确的具有针对性的安全检测，以及随着容器编排引擎的广泛使用，也逐渐暴露出涉及到Kubernetes环境安全的容器逃逸漏洞，针对这些已知的安全问题，原有的基准测试难以在运行前进行检测，只能依赖于容器运行时的安全防护。
[0004]公开号为CN111865971A的专利文献一种基于sidecar方案的kubernetes业务容器安全性探测方法，包括：在内核中集成基于LSM和/或Rootkit的安全模块；在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器，并为Pod中的多容器开启共享进程命名空间；sidecar容器中的监控进程与内核进行通讯，使sidecar容器中的监控进程和安全模块配合起来，根据sidecar容器中的安全监测选项，对kubernetes业务容器中的进程和文件系统进行监测和控制。但是该专利文献仍然存在仅根据相对单一、笼统的安全标准的检测规则描述，难以做到精确的具有针对性的安全检测的缺陷。

技术实现思路

[0005]针对现有技术中的缺陷，本专利技术的目的是提供一种针对Kubernetes的自动化配置安全检测方法及系统。
[0006]根据本专利技术提供的一种针对Kubernetes的自动化配置安全检测方法，包括如下步骤：
[0007]规则定义步骤：定义如下安全配置检测规则：Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则；
[0008]基准测试步骤：基于所述规则定义步骤定义的规则，获取Kubernetes环境的基础配置信息，检查数据文件权限、参数配置以及yaml配置文件，根据获取的目标环境设置进行
规则匹配；
[0009]整理分析步骤：对所述基线测试步骤的检测结果进行整理和分析。
[0010]优选的，所述规则定义步骤中，根据CIS Kubernetes安全基线定义所述安全配置检测规则，对Kubernetes环境的数据文件权限和参数配置进行安全限制。
[0011]优选的，所述规则定义步骤中，所述Kubernetes环境的危险版本检测规则为结合涉及到Kubernetes安全的容器逃逸漏洞设计适合预设环境的自定义规则；
[0012]所述规则定义步骤中，所述Pod配置中的危险Capabilities的检测规则为结合已知能够造成容器逃逸的高风险Capabilities设计适合预设环境的自定义规则。
[0013]优选的，所述基准测试步骤中，基于所述安全配置检测规则，在基线检查的过程中，判断Kubernetes环境是否存在高危配置风险信息，判断Kubernetes环境是否满足相关漏洞触发的条件，判断Kubernetes环境是否存在配置了高风险Capabilities的Pod，并对危险配置信息触发告警并记录检测结果。
[0014]优选的，根据所述Kubernetes环境的危险版本检测规则，判断Kubernetes环境是否存在高危配置风险信息，判断Kubernetes环境是否满足相关漏洞触发的条件；
[0015]根据所述Pod配置中的危险Capabilities的检测规则，判断Kubernetes环境是否存在配置了高风险Capabilities的Pod，并对危险配置信息触发告警并记录检测结果。
[0016]优选的，检测容器逃逸风险的具体过程为：在容器运行前阶段，对涉及到Kubernetes环境的容器逃逸漏洞的安全问题进行防护，破坏已知安全风险的发生条件，在配置层面对容器逃逸风险进行规避。
[0017]优选的，基准测试规则匹配与处理的过程为：根据基准测试规则中定义的安全配置项，在测试过程中，对获取的Kubernetes环境基础配置信息进行规则匹配，并记录检测结果。
[0018]优选的，所述整理分析步骤具体为：
[0019]依据CIS的指导原则以及场景中的实际应用，在检测报告中将结果划分为高、中、低三个威胁等级，并根据需求输出详细检测结果。
[0020]优选的，所述威胁等级划分具体为：
[0021]将会导致容器逃逸风险的问题划分为高威胁等级；将Kubernetes环境中与安全配置参数、配置文件权限设置相关的问题划分为中威胁等级；将CIS Kubernetes安全基准中列为安全建议项的问题划分为低威胁等级。
[0022]本专利技术还提供一种针对Kubernetes的自动化配置安全检测系统，包括如下模块：
[0023]规则定义模块：定义如下安全配置检测规则：Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则；
[0024]基准测试模块：基于所述规则定义步骤定义的规则，获取Kubernetes环境的基础配置信息，检查数据文件权限、参数配置以及yaml配置文件，根据获取的目标环境设置进行规则匹配；
[0025]整理分析模块：对所述基线测试步骤的检测结果进行整理和分析。
[0026]与现有技术相比，本专利技术具有如下的有益效果：
[0027]1、本专利技术实现了在对已有基础配置相关规则检测的基础上，对Kubernetes环境的
安全配置进行更加全面的检测；
[0028]2、本专利技术的方法可以用于Kubernetes基线检查分析环境安全性，能够实现针对已知的容器逃逸风险进行单独检测；
[0029]3、本专利技术针对当前环境的配置信息可能导致的入侵风险及时报警输出，破坏已知安全风险的发生条件，使得在配置层面对Kubernetes存在的严重容器逃逸风险进行规避。
附图说明
[0030]通过阅读参照以下本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对Kubernetes的自动化配置安全检测方法，其特征在于，包括如下步骤：规则定义步骤：定义如下安全配置检测规则：Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则；基准测试步骤：基于所述规则定义步骤定义的规则，获取Kubernetes环境的基础配置信息，检查数据文件权限、参数配置以及yaml配置文件，根据获取的目标环境设置进行规则匹配；整理分析步骤：对所述基线测试步骤的检测结果进行整理和分析。2.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法，其特征在于，所述规则定义步骤中，根据CIS Kubernetes安全基线定义所述安全配置检测规则，对Kubernetes环境的数据文件权限和参数配置进行安全限制。3.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法，其特征在于，所述规则定义步骤中，所述Kubernetes环境的危险版本检测规则为结合涉及到Kubernetes安全的容器逃逸漏洞设计适合预设环境的自定义规则；所述规则定义步骤中，所述Pod配置中的危险Capabilities的检测规则为结合已知能够造成容器逃逸的高风险Capabilities设计适合预设环境的自定义规则。4.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法，其特征在于，所述基准测试步骤中，基于所述安全配置检测规则，在基线检查的过程中，判断Kubernetes环境是否存在高危配置风险信息，判断Kubernetes环境是否满足相关漏洞触发的条件，判断Kubernetes环境是否存在配置了高风险Capabilities的Pod，并对危险配置信息触发告警并记录检测结果。5.根据权利要求4所述的针对Kubernetes的自动化配置安全检测方法，其特征在于，根据所述Kubernetes环境的危险版本检测规则，判断Kubernetes环境是否存在高危配置风险信息，判断Kubernetes环境是否满足相关漏洞触发的条件；...

【专利技术属性】
技术研发人员：姜玥，王轶骏，陈妍，
申请(专利权)人：公安部第三研究所，
类型：发明
国别省市：