一种集群漏洞扫描、配置审计和监控告警的方法及装置制造方法及图纸

本发明专利技术公开一种Kubernetes集群漏洞扫描、配置审计和监控告警的方法及装置，所述方法包括：控制器监控待检测容器的状态变化，检测到目标状态变化，则自动触发漏洞扫描并生成漏洞报告；控制器监控审计配置的状态变化，包括网关、网络策略和资源分配，检测到目标新增或者修改时，自动触发配置审计并生成配置审计报告；Prometheus定期获取并保存生成的所述漏洞报告或配置审计报告，并根据告警策略，向用户发送告警。本发明专利技术生成的安全报告，以自定义资源存储在k8s集群中，可以对安全报告做横向或纵向对比分析，提高漏洞整改效率。提高漏洞整改效率。提高漏洞整改效率。

【技术实现步骤摘要】
一种集群漏洞扫描、配置审计和监控告警的方法及装置


[0001]本专利技术涉及集群层面的漏洞扫描与告警领域，尤其是一种集群漏洞扫描、配置审计和监控告警的方法及装置。

技术介绍

[0002]Kubernetes(以下简称k8s)是当前主流的容器调度平台，是一个可移植的、可扩展的和自修复的开源平台，用于管理容器化的工作负载和服务。利用k8s，可以跨云、跨平台进行容器编排，更加充分地利用硬件资源，对服务进行声明式管理，快速、按需扩展容器化应用。
[0003]容器简化了应用或服务及其所有依赖项的构建、封装与推进，这种简化涵盖整个生命周期，并且跨越不同的环境和部署目标。应用在逻辑设计上的缺陷或在编写时产生的问题，可以被不法分子利用，通过植入木马、病毒等方式来攻击或控制整个主机，甚至破坏整个系统。在云原生时代，越来越多的应用程序被容器化，容器的安全也越来越重要，更需要及时进行针对性的漏洞风险扫描，减少存在的安全风险。
[0004]云原生安全模型的4个C分别是云(cloud)、集群(cluster)、容器(container)和代码(code)，每一层都是基于下一个最外层，代码层受益于强大的基础安全层(云、集群、容器)。现有的基于镜像的容器漏洞扫描方法，通过获取容器镜像并解析包含的软件应用，来获得软件名称和版本并与相应的漏洞库进行匹配。此方案是在容器层面来进行漏洞扫描，需要手动执行，检测结果没有持久化，不能对检测结果做纵向对比分析，缺少对配置文件的检测，没有检测漏洞告警机制。

技术实现思路

[0005]本专利技术提供一种k8s集群层面的漏洞扫描、配置审计和监控告警的方法及装置，用以解决需要手动执行，检测结果没有持久化，不能对检测结果做纵向对比分析，缺少对配置文件的检测，没有检测漏洞告警机制的问题。
[0006]本专利技术的技术方案是：
[0007]第一方面，本专利技术公开一种Kubernetes集群漏洞扫描、配置审计和监控告警的方法，包括：
[0008]控制器监控待检测容器的状态变化，检测到目标状态变化，则自动触发漏洞扫描并生成漏洞报告；
[0009]控制器监控审计配置的状态变化，包括网关、网络策略和资源分配，检测到目标新增或者修改时，自动触发配置审计并生成配置审计报告；
[0010]Prometheus定期获取并保存生成的所述漏洞报告或配置审计报告，并根据告警策略，向用户发送告警。
[0011]在一个具体实施方式中，所述漏洞扫描包括：
[0012]根据配置的漏洞元数据库，每次运行都将下载最新的漏洞数据库并缓存下来，当
再次扫描时，它将检查并更新数据库以保持数据库为最新状态，保证漏洞数据库的时效性。
[0013]在一个具体实施方式中，所述控制器以单机或者服务器/客户端的形式运行；服务器/客户端的形式运行时，不需要在每个客户端维护一个漏洞数据库，服务端会维护一个最新的漏洞数据库。
[0014]在一个具体实施方式中，所述漏洞扫描还包括：用户可自定义过滤漏洞，在扫描时，过滤的漏洞不会记录在安全报告中。
[0015]在一个具体实施方式中，自动触发配置审计并生成配置审计报告；具体包括：
[0016]配置审计时，允许自定义配置审计规则，它内置了一组配置审计策略存放在trivy
‑
operator
‑
policies
‑
config的配置中，用户根据需要新增或修改审计策略以扩展基本的配置审计功能。
[0017]在一个具体实施方式中，自定义配置审计规则具体包括：
[0018]首先用户需定义自定义审计策略的元数据，包括设置的唯一标识符、标题、严重程度以及描述性文本，所述严重程度包括CRITICAL、HIGH、MEDIUM、LOW，然后创建策略逻辑，定义了监控的类型和监控指标，最后保存配置并重启控制器，控制器就可以根据审计策略监控自定义资源状态。
[0019]在一个具体实施方式中，Prometheus定期获取并保存生成的所述漏洞报告或配置审计报告，并根据告警策略，向用户发送告警，具体包括：
[0020]控制器提供了查询漏洞指标和审计指标的接口，Prometheus定时15秒去拉取一次数据并保存；
[0021]内置了一个告警邮箱，用于触发告警后，向该邮箱发送告警消息；用户可通过新增或修改告警邮箱，以使用户能接收到告警消息；
[0022]内置了一组告警策略，Prometheus的告警组件会根据内置的告警策略，向配置的告警邮箱发送告警消息。
[0023]第二方面，本专利技术公开一种Kubernetes集群漏洞扫描、配置审计和监控告警装置，包括：
[0024]数据获取模块，用于监控待检测资源状态变化，并自动触发扫描；
[0025]漏洞扫描和配置审计模块，扫描镜像漏洞，审计配置，得到安全报告，并将监控指标发送到prometheus；
[0026]监控告警模块，根据监控指标，向用户发出告警消息。
[0027]第三方面，本专利技术公开一种存储介质，该存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现本专利技术第一方面所述的方法。
[0028]第四方面，本专利技术公开一种电子设备，包括存储器和处理器，存储器上储存有在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本专利技术第一方面所述的方法。
[0029]本专利技术的有益技术效果是：
[0030]本专利技术公开了一种集群层面的漏洞检测的新方法。这种方法以控制器operator的方式运行在集群中，它通过观察k8s资源的状态变化并自动触发扫描以响应变化，例如在创建新容器组时启动漏洞扫描，做到持续扫描k8s集群以查找安全问题，并生成安全报告。本专利技术公开的一套基于检测结果的监控告警系统。检测到镜像或配置文件的漏洞后，控制器
将监控指标发送到prometheus，根据漏洞的严重程度和个数向用户发出告警。本专利技术可持久化检测结果，生成的安全报告，以自定义资源(crds)存储在k8s集群中，可以对安全报告做横向或纵向对比分析，提高漏洞整改效率。
附图说明
[0031]为使本专利技术的目的、内容和优点更加清楚，下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述。
[0032]图1是本专利技术的系统架构图；
[0033]图2是本专利技术的漏洞扫描流程图；
[0034]图3是本专利技术的监控告警流程图。
具体实施方式
[0035]为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0036]以下结合附图对本申请的实施例作进一步详细说明。
[0037]实施例1
[003本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种集群漏洞扫描、配置审计和监控告警的方法，其特征在于，包括：控制器监控待检测容器的状态变化，检测到目标状态变化，则自动触发漏洞扫描并生成漏洞报告；控制器监控审计配置的状态变化，包括网关、网络策略和资源分配，检测到目标新增或者修改时，自动触发配置审计并生成配置审计报告；Prometheus定期获取并保存生成的所述漏洞报告或配置审计报告，并根据告警策略，向用户发送告警。2.根据权利要求1所述的方法，其特征在于，所述漏洞扫描包括：根据配置的漏洞元数据库，每次运行都将下载最新的漏洞数据库并缓存下来，当再次扫描时，它将检查并更新数据库以保持数据库为最新状态，保证漏洞数据库的时效性。3.根据权利要求2所述的方法，其特征在于，所述控制器以单机或者服务器/客户端的形式运行；服务器/客户端的形式运行时，不需要在每个客户端维护一个漏洞数据库，服务端会维护一个最新的漏洞数据库。4.根据权利要求3所述的方法，其特征在于，所述漏洞扫描还包括：用户可自定义过滤漏洞，在扫描时，过滤的漏洞不会记录在安全报告中。5.根据权利要求4所述的方法，其特征在于，自动触发配置审计并生成配置审计报告；具体包括：配置审计时，允许自定义配置审计规则，它内置了一组配置审计策略存放在trivy
‑
operator
‑
policies
‑
config的配置中，用户根据需要新增或修改审计策略以扩展基本的配置审计功能。6.根据权利要求5所述的方法，其特征在于，自定义配置审计规则具...

【专利技术属性】
技术研发人员：许伟，陈柳伊，梅红伟，
申请(专利权)人：航天科工网络信息发展有限公司，
类型：发明
国别省市：