CN115189934A - 针对Kubernetes的自动化配置安全检测方法及*** - Google Patents
针对Kubernetes的自动化配置安全检测方法及*** Download PDFInfo
- Publication number
- CN115189934A CN115189934A CN202210789926.8A CN202210789926A CN115189934A CN 115189934 A CN115189934 A CN 115189934A CN 202210789926 A CN202210789926 A CN 202210789926A CN 115189934 A CN115189934 A CN 115189934A
- Authority
- CN
- China
- Prior art keywords
- configuration
- kubernets
- detection
- rule
- environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 185
- 238000012360 testing method Methods 0.000 claims abstract description 36
- 238000000034 method Methods 0.000 claims description 52
- 230000008569 process Effects 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000006872 improvement Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 231100001261 hazardous Toxicity 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种针对Kubernetes的自动化配置安全检测方法及***,包括如下步骤:定义如下安全配置检测规则:Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则;获取Kubernetes环境的基础配置信息,检查数据文件权限、参数配置以及yaml配置文件,根据获取的目标环境设置进行规则匹配;对所述基线测试步骤的检测结果进行整理和分析。本发明实现了在对已有基础配置相关规则检测的基础上,对Kubernetes环境的安全配置进行更加全面的检测。
Description
技术领域
本发明涉及网络安全、虚拟化技术领域,具体地,涉及针对Kubernetes的自动化配置安全检测方法及***。
背景技术
随着虚拟化技术的日益发展,作为生产级容器编排引擎的Kubernetes也得到广泛的使用,根据调查目前已经达到了48%的采用率。此类容器编排引擎的安全性问题逐渐成为关注的焦点,因为企业通常会将各种关键服务和数据部署在Kubernetes集群中,为了保障企业存放在云上的重要服务和数据的安全性,需要避免容器逃逸这类风险的发生。而由于容器安全配置不当也许会导致严重安全漏洞,因此针对容器在运行前阶段的基线检测是非常必要的。
目前的检测方法通常是基于CIS Kubernetes安全标准,从master节点服务、node节点服务以及安全控制等方面,对Kubernetes环境的基础配置检测存在的安全问题。此类方法的问题是,对于在Kubernetes环境用户实际使用过程中个性化配置的众多Pod,仅根据相对单一、笼统的安全标准的检测规则描述,难以做到精确的具有针对性的安全检测,以及随着容器编排引擎的广泛使用,也逐渐暴露出涉及到Kubernetes环境安全的容器逃逸漏洞,针对这些已知的安全问题,原有的基准测试难以在运行前进行检测,只能依赖于容器运行时的安全防护。
公开号为CN111865971A的专利文献一种基于sidecar方案的kubernetes业务容器安全性探测方法,包括:在内核中集成基于LSM和/或Rootkit的安全模块;在Pod中为每一个需要监测和控制的kubernetes业务容器添加统一的sidecar容器,并为Pod中的多容器开启共享进程命名空间;sidecar容器中的监控进程与内核进行通讯,使sidecar容器中的监控进程和安全模块配合起来,根据sidecar容器中的安全监测选项,对kubernetes业务容器中的进程和文件***进行监测和控制。但是该专利文献仍然存在仅根据相对单一、笼统的安全标准的检测规则描述,难以做到精确的具有针对性的安全检测的缺陷。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种针对Kubernetes的自动化配置安全检测方法及***。
根据本发明提供的一种针对Kubernetes的自动化配置安全检测方法,包括如下步骤:
规则定义步骤:定义如下安全配置检测规则:Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则;
基准测试步骤:基于所述规则定义步骤定义的规则,获取Kubernetes环境的基础配置信息,检查数据文件权限、参数配置以及yaml配置文件,根据获取的目标环境设置进行规则匹配;
整理分析步骤:对所述基线测试步骤的检测结果进行整理和分析。
优选的,所述规则定义步骤中,根据CIS Kubernetes安全基线定义所述安全配置检测规则,对Kubernetes环境的数据文件权限和参数配置进行安全限制。
优选的,所述规则定义步骤中,所述Kubernetes环境的危险版本检测规则为结合涉及到Kubernetes安全的容器逃逸漏洞设计适合预设环境的自定义规则;
所述规则定义步骤中,所述Pod配置中的危险Capabilities的检测规则为结合已知能够造成容器逃逸的高风险Capabilities设计适合预设环境的自定义规则。
优选的,所述基准测试步骤中,基于所述安全配置检测规则,在基线检查的过程中,判断Kubernetes环境是否存在高危配置风险信息,判断Kubernetes环境是否满足相关漏洞触发的条件,判断Kubernetes环境是否存在配置了高风险Capabilities的Pod,并对危险配置信息触发告警并记录检测结果。
优选的,根据所述Kubernetes环境的危险版本检测规则,判断Kubernetes环境是否存在高危配置风险信息,判断Kubernetes环境是否满足相关漏洞触发的条件;
根据所述Pod配置中的危险Capabilities的检测规则,判断Kubernetes环境是否存在配置了高风险Capabilities的Pod,并对危险配置信息触发告警并记录检测结果。
优选的,检测容器逃逸风险的具体过程为:在容器运行前阶段,对涉及到Kubernetes环境的容器逃逸漏洞的安全问题进行防护,破坏已知安全风险的发生条件,在配置层面对容器逃逸风险进行规避。
优选的,基准测试规则匹配与处理的过程为:根据基准测试规则中定义的安全配置项,在测试过程中,对获取的Kubernetes环境基础配置信息进行规则匹配,并记录检测结果。
优选的,所述整理分析步骤具体为:
依据CIS的指导原则以及场景中的实际应用,在检测报告中将结果划分为高、中、低三个威胁等级,并根据需求输出详细检测结果。
优选的,所述威胁等级划分具体为:
将会导致容器逃逸风险的问题划分为高威胁等级;将Kubernetes环境中与安全配置参数、配置文件权限设置相关的问题划分为中威胁等级;将CIS Kubernetes安全基准中列为安全建议项的问题划分为低威胁等级。
本发明还提供一种针对Kubernetes的自动化配置安全检测***,包括如下模块:
规则定义模块:定义如下安全配置检测规则:Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则;
基准测试模块:基于所述规则定义步骤定义的规则,获取Kubernetes环境的基础配置信息,检查数据文件权限、参数配置以及yaml配置文件,根据获取的目标环境设置进行规则匹配;
整理分析模块:对所述基线测试步骤的检测结果进行整理和分析。
与现有技术相比,本发明具有如下的有益效果:
1、本发明实现了在对已有基础配置相关规则检测的基础上,对Kubernetes环境的安全配置进行更加全面的检测;
2、本发明的方法可以用于Kubernetes基线检查分析环境安全性,能够实现针对已知的容器逃逸风险进行单独检测;
3、本发明针对当前环境的配置信息可能导致的入侵风险及时报警输出,破坏已知安全风险的发生条件,使得在配置层面对Kubernetes存在的严重容器逃逸风险进行规避。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明的针对Kubernetes的自动化配置安全检测方法的步骤流程图;
图2为本发明的针对Kubernetes的自动化配置安全检测***的结构图;
图3为本发明的针对Kubernetes的自动化配置安全检测方法的简易步骤流程图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
实施例1:
如图1所示,本实施例提供一种针对Kubernetes的自动化配置安全检测方法,包括如下步骤:
规则定义步骤:定义如下安全配置检测规则:Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则;根据CIS Kubernetes安全基线定义安全配置检测规则,对Kubernetes环境的数据文件权限和参数配置进行安全限制;Kubernetes环境的危险版本检测规则为结合涉及到Kubernetes安全的容器逃逸漏洞设计适合预设环境的自定义规则;Pod配置中的危险Capabilities的检测规则为结合已知能够造成容器逃逸的高风险Capabilities设计适合预设环境的自定义规则。
基准测试步骤:基于规则定义步骤定义的规则,获取Kubernetes环境的基础配置信息,检查数据文件权限、参数配置以及yaml配置文件,根据获取的目标环境设置进行规则匹配;基于安全配置检测规则,在基线检查的过程中,判断Kubernetes环境是否存在高危配置风险信息,判断Kubernetes环境是否满足相关漏洞触发的条件,判断Kubernetes环境是否存在配置了高风险Capabilities的Pod,并对危险配置信息触发告警并记录检测结果;根据Kubernetes环境的危险版本检测规则,判断Kubernetes环境是否存在高危配置风险信息,判断Kubernetes环境是否满足相关漏洞触发的条件;根据Pod配置中的危险Capabilities的检测规则,判断Kubernetes环境是否存在配置了高风险Capabilities的Pod,并对危险配置信息触发告警并记录检测结果;基准测试规则匹配与处理的过程为:根据基准测试规则中定义的安全配置项,在测试过程中,对获取的Kubernetes环境基础配置信息进行规则匹配,并记录检测结果。
整理分析步骤:对基线测试步骤的检测结果进行整理和分析;整理分析步骤具体为:依据CIS的指导原则以及场景中的实际应用,在检测报告中将结果划分为高、中、低三个威胁等级,并根据需求输出详细检测结果。威胁等级划分具体为:将会导致容器逃逸风险的问题划分为高威胁等级;将Kubernetes环境中与安全配置参数、配置文件权限设置相关的问题划分为中威胁等级;将CIS Kubernetes安全基准中列为安全建议项的问题划分为低威胁等级。
检测容器逃逸风险的具体过程为:在容器运行前阶段,对涉及到Kubernetes环境的容器逃逸漏洞的安全问题进行防护,破坏已知安全风险的发生条件,在配置层面对容器逃逸风险进行规避。
本实施例的方法:首先,结合涉及到Kubernetes安全的容器逃逸漏洞设计适合特定环境的自定义规则,并在检测过程中判断Kubernetes环境是否存在高危配置风险信息以及是否满足相关漏洞触发的条件;其次,结合已知可以造成容器逃逸的高风险Capabilities设计适合特定环境的自定义规则,并在检测过程中判断Kubernetes环境是否存在配置了高风险Capabilities的Pod;最后,对检测结果进行分析和梳理,划分威胁等级,并根据需求输出详细的检测结果。总体上实现针对已知的容器逃逸风险进行单独检测,针对当前环境的配置信息可能导致的入侵风险及时报警输出,破坏已知安全风险的发生条件,使得在配置层面对Kubernetes存在的严重容器逃逸风险进行规避。
本实施例的方法能够对容器环境基础配置信息进行采集,根据基准测试规则对***环境配置安全进行检测以及对潜在的容器逃逸风险进行规避。基准测试规则包括CIS基准测试标准、危险Capabilities的检测规则以及适合特定环境的危险版本检测规则。通过基准测试模块对所获取的容器环境基础配置信息根据基准检测规则进行匹配,对危险的***配置保留详细信息,经过对检测结果整理与分析输出最终的检测报告,对潜在的逃逸风险告警并给予改善意见。
实施例2:
如图2所示,本实施例还提供一种针对Kubernetes的自动化配置安全检测***,包括如下模块:
规则定义模块:定义如下安全配置检测规则:Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则;
基准测试模块:基于规则定义步骤定义的规则,获取Kubernetes环境的基础配置信息,检查数据文件权限、参数配置以及yaml配置文件,根据获取的目标环境设置进行规则匹配;
整理分析模块:对基线测试步骤的检测结果进行整理和分析。
实施例3:
本领域技术人员可以将本实施例理解为实施例1、实施例2的更为具体的说明。
本实施例提供一种针对Kubernetes的自动化配置安全检测***,包括如下模块:安全配置检测规则模块、基于规则的基准测试模块以及最后检测结果整理与分析模块;
安全配置检测规则模块:定义Kubernetes环境的数据文件权限检测规则,危险参数配置的检测规则,结合已知可以造成容器逃逸的高风险Capabilities定义Pod配置中的危险Capabilities的检测规则以及结合涉及到Kubernetes安全的容器逃逸漏洞设计适合特定环境的危险版本检测规则。
基于规则的基准测试模块:获取Kubernetes环境的基础配置信息,检查数据文件权限、参数配置以及yaml配置文件,根据获取的目标环境设置进行规则匹配,在基线检查的过程中判断Kubernetes环境是否存在高危配置风险信息、是否满足相关漏洞触发的条件以及Kubernetes环境是否存在配置了高风险Capabilities的Pod,并对危险配置信息触发告警并记录检测结果。
检测结果整理与分析模块:对基线检测结果的整理与分析,依据CIS的指导原则以及场景中的实际应用,在检测报告中将结果划分为高、中、低三个威胁等级,并根据需求输出详细检测结果及提供改善建议。
定义安全配置检测规则。根据CIS Kubernetes安全基线定义安全配置检测规则,对Kubernetes环境的数据文件权限以及参数配置进行安全限制。
Kubernetes环境中的危险版本检测规则。结合涉及到Kubernetes安全的容器逃逸漏洞设计适合特定环境的自定义规则,并在检测过程中判断Kubernetes环境是否存在高危配置风险信息以及是否满足相关漏洞触发的条件。
Pod配置中的危险Capabilities的检测规则。结合已知可以造成容器逃逸的高风险Capabilities设计适合特定环境的自定义规则,并在检测过程中判断Kubernetes环境是否存在配置了高风险Capabilities的Pod。
在容器运行前阶段,对涉及到Kubernetes环境的容器逃逸漏洞等安全问题进行防护,破坏已知安全风险的发生条件,在配置层面对容器逃逸风险进行规避。
对于基准测试规则的匹配与处理。根据基准测试规则中定义的安全配置项,在测试过程中对获取的Kubernetes环境基础配置信息进行规则匹配,并记录检测结果。
对基线检测结果的整理与分析。依据CIS的指导原则以及场景中的实际应用,在检测报告中将结果划分为高、中、低三个威胁等级,并根据需求输出详细检测结果。
本实施例的方法结合涉及到Kubernetes安全的容器逃逸漏洞,设计适合特定环境的自定义规则,检测Kubernetes环境的高危配置风险信息以及是否满足相关漏洞触发的条件,实现了在对已有基础配置相关规则检测的基础上,对Kubernetes环境的安全配置进行更加全面的检测,具体地针对已知的容器逃逸风险进行单独检测,针对当前环境的配置信息可能导致的入侵风险及时报警输出,使得在安全配置层面对Kubernetes存在的严重容器逃逸风险进行避免。
首先,获取Kubernetes环境的基础配置信息,检查数据文件权限以及参数配置。其次,检查yaml配置文件中是否有危险版本配置或危险Capabilities的存在。最后对检测结果进行梳理,依据CIS的指导原则以及场景中的实际应用,在检测报告中将结果划分为高、中、低三个威胁等级,并根据需求输出详细检测结果。
实施例4:
本领域技术人员可以将本实施例理解为实施例1、实施例2的更为具体的说明。
本实施例提出一种针对Kubernetes的自动化配置安全检测方法,本实施例的方法首先根据CISKubernetes安全基线定义安全配置检测规则,对Kubernetes环境的数据文件权限以及参数配置进行基线检查;其次,结合涉及到Kubernetes安全的容器逃逸风险定义危险版本检测规则及危险Capabilities的检测规则,在基线检查的过程中判断Kubernetes环境是否存在高危配置风险信息并记录检测结果。最后对检测结果进行分析和梳理,划分威胁等级,根据需求输出详细的检测结果并提供改善建议。
进一步的,安全配置检测规则基于CIS Kubernetes安全基线,对Kubernetes环境的数据文件权限以及参数配置进行安全限制。
进一步的,Kubernetes环境中的危险版本检测规则是结合涉及到Kubernetes安全的容器逃逸漏洞,定义的适合特定环境的规则,根据其可以在检测过程中判断Kubernetes环境是否存在高危配置风险信息以及是否满足相关漏洞触发的条件。
进一步的,Pod配置中的危险Capabilities的检测规则是基于已知可以造成容器逃逸的高风险Capabilities定义的规则,根据其可以在检测过程中判断Kubernetes环境是否存在配置了高风险Capabilities的Pod。
进一步的,检测容器逃逸风险的过程为,在容器运行前阶段,对涉及到Kubernetes环境的容器逃逸漏洞等安全问题进行防护,破坏已知安全风险的发生条件,实现在配置层面对容器逃逸风险进行规避。
进一步的,基准测试规则匹配与处理的过程为,根据基准测试规则中定义的安全配置项,在测试过程中对获取的Kubernetes环境基础配置信息进行规则匹配,并记录检测结果,对危险的***配置记录详细信息。
进一步的,基线检测结果整理与分析的过程为,依据CIS的指导原则以及场景中的实际应用,在检测报告中将结果划分为高、中、低三个威胁等级,并根据需求输出详细检测结果。
进一步的,威胁等级划分具体为,将可能导致容器逃逸风险的问题划分为高威胁等级,在检测结果中如有未通过的检测需要重点关注;将Kubernetes环境中与安全配置参数、配置文件权限设置等相关问题划分为中威胁等级,在检测结果中如有未通过的检测可根据改善建议对配置进行更改;将CIS Kubernetes安全基准中列为安全建议项的问题划分为低威胁等级,在检测结果中仅作提示作用。
实施例5:
本领域技术人员可以将本实施例理解为实施例1、实施例2的更为具体的说明。
本实施例提供一种针对Kubernetes的自动化配置安全检测方法,方法的流程图如图3所示,本实施例的方法的具体流程如下:
步骤一,定义安全配置检测规则。根据CIS Kubernetes安全基线定义Kubernetes环境的基础配置检测规则,实现对数据文件权限和危险参数配置进行检测,根据已知可以造成容器逃逸的高风险Capabilities,定义Pod配置中的危险Capabilities的检测规则以及根据涉及到Kubernetes安全的容器逃逸漏洞,设计适合特定环境的危险版本检测规则,实现在基础配置检测的过程中发现潜在的容器逃逸风险。
步骤二,根据已有安全规则进行自动化基准测试。获取Kubernetes环境的基础配置信息,检查数据文件权限、参数配置以及yaml配置文件,根据获取的目标环境设置进行规则匹配,在基线检查的过程中判断Kubernetes环境是否存在高危配置风险信息、是否满足相关漏洞触发的条件以及Kubernetes环境是否存在配置了高风险Capabilities的Pod,并对危险配置信息触发告警并记录检测结果。
步骤三,对基线检测结果的整理与分析。依据CIS的指导原则以及场景中的实际应用,在检测报告中将结果划分为高、中、低三个威胁等级,并根据需求输出详细检测结果,对潜在的逃逸风险告警并给予改善意见,通过对涉及到Kubernetes环境的容器逃逸漏洞等安全问题的告警,在运行前对安全问题进行防护,以改善环境基础配置的方法破坏已知安全风险的发生条件,实现在配置层面对容器逃逸风险进行规避。
本实施例提供的一种针对Kubernetes的自动化配置安全检测方法,该方法可以用于Kubernetes基线检查分析环境安全性。首先,结合涉及到Kubernetes安全的容器逃逸漏洞设计适合特定环境的自定义规则,并在检测过程中判断Kubernetes环境是否存在高危配置风险信息以及是否满足相关漏洞触发的条件;其次,结合已知可以造成容器逃逸的高风险Capabilities设计适合特定环境的自定义规则,并在检测过程中判断Kubernetes环境是否存在配置了高风险Capabilities的Pod;最后,对检测结果进行分析和梳理,划分威胁等级,并根据需求输出详细的检测结果。总体上实现针对已知的容器逃逸风险进行单独检测,针对当前环境的配置信息可能导致的入侵风险及时报警输出,破坏已知安全风险的发生条件,使得在配置层面对Kubernetes存在的严重容器逃逸风险进行规避。
本实施例还提供一种针对Kubernetes的自动化配置安全检测***,可以通过上述的针对Kubernetes的自动化配置安全检测方法的步骤流程实现,本领域技术人员可以将针对Kubernetes的自动化配置安全检测***方法理解为所述针对Kubernetes的自动化配置安全检测***的优选例。
本发明实现了在对已有基础配置相关规则检测的基础上,对Kubernetes环境的安全配置进行更加全面的检测。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的***及其各个装置、模块、单元以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的***及其各个装置、模块、单元以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以,本发明提供的***及其各项装置、模块、单元可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置、模块、单元也可以视为硬件部件内的结构;也可以将用于实现各种功能的装置、模块、单元视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
Claims (10)
1.一种针对Kubernetes的自动化配置安全检测方法,其特征在于,包括如下步骤:
规则定义步骤:定义如下安全配置检测规则:Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则;
基准测试步骤:基于所述规则定义步骤定义的规则,获取Kubernetes环境的基础配置信息,检查数据文件权限、参数配置以及yaml配置文件,根据获取的目标环境设置进行规则匹配;
整理分析步骤:对所述基线测试步骤的检测结果进行整理和分析。
2.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法,其特征在于,所述规则定义步骤中,根据CIS Kubernetes安全基线定义所述安全配置检测规则,对Kubernetes环境的数据文件权限和参数配置进行安全限制。
3.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法,其特征在于,所述规则定义步骤中,所述Kubernetes环境的危险版本检测规则为结合涉及到Kubernetes安全的容器逃逸漏洞设计适合预设环境的自定义规则;
所述规则定义步骤中,所述Pod配置中的危险Capabilities的检测规则为结合已知能够造成容器逃逸的高风险Capabilities设计适合预设环境的自定义规则。
4.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法,其特征在于,所述基准测试步骤中,基于所述安全配置检测规则,在基线检查的过程中,判断Kubernetes环境是否存在高危配置风险信息,判断Kubernetes环境是否满足相关漏洞触发的条件,判断Kubernetes环境是否存在配置了高风险Capabilities的Pod,并对危险配置信息触发告警并记录检测结果。
5.根据权利要求4所述的针对Kubernetes的自动化配置安全检测方法,其特征在于,根据所述Kubernetes环境的危险版本检测规则,判断Kubernetes环境是否存在高危配置风险信息,判断Kubernetes环境是否满足相关漏洞触发的条件;
根据所述Pod配置中的危险Capabilities的检测规则,判断Kubernetes环境是否存在配置了高风险Capabilities的Pod,并对危险配置信息触发告警并记录检测结果。
6.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法,其特征在于,检测容器逃逸风险的具体过程为:在容器运行前阶段,对涉及到Kubernetes环境的容器逃逸漏洞的安全问题进行防护,破坏已知安全风险的发生条件,在配置层面对容器逃逸风险进行规避。
7.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法,其特征在于,基准测试规则匹配与处理的过程为:根据基准测试规则中定义的安全配置项,在测试过程中,对获取的Kubernetes环境基础配置信息进行规则匹配,并记录检测结果。
8.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法,其特征在于,所述整理分析步骤具体为:
依据CIS的指导原则以及场景中的实际应用,在检测报告中将结果划分为高、中、低三个威胁等级,并根据需求输出详细检测结果。
9.根据权利要求1所述的针对Kubernetes的自动化配置安全检测方法,其特征在于,所述威胁等级划分具体为:
将会导致容器逃逸风险的问题划分为高威胁等级;将Kubernetes环境中与安全配置参数、配置文件权限设置相关的问题划分为中威胁等级;将CIS Kubernetes安全基准中列为安全建议项的问题划分为低威胁等级。
10.一种针对Kubernetes的自动化配置安全检测***,其特征在于,包括如下模块:
规则定义模块:定义如下安全配置检测规则:Kubernetes环境的数据文件权限检测规则、Kubernetes环境的危险参数配置的检测规则、Kubernetes环境的危险版本检测规则、Pod配置中的危险Capabilities的检测规则;
基准测试模块:基于所述规则定义步骤定义的规则,获取Kubernetes环境的基础配置信息,检查数据文件权限、参数配置以及yaml配置文件,根据获取的目标环境设置进行规则匹配;
整理分析模块:对所述基线测试步骤的检测结果进行整理和分析。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210789926.8A CN115189934A (zh) | 2022-07-06 | 2022-07-06 | 针对Kubernetes的自动化配置安全检测方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210789926.8A CN115189934A (zh) | 2022-07-06 | 2022-07-06 | 针对Kubernetes的自动化配置安全检测方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115189934A true CN115189934A (zh) | 2022-10-14 |
Family
ID=83517548
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210789926.8A Pending CN115189934A (zh) | 2022-07-06 | 2022-07-06 | 针对Kubernetes的自动化配置安全检测方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115189934A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108446159A (zh) * | 2017-02-16 | 2018-08-24 | 中标软件有限公司 | 基于Docker容器的移动端双***实现***及方法 |
CN109815704A (zh) * | 2019-01-24 | 2019-05-28 | 中国—东盟信息港股份有限公司 | 一种Kubernetes云原生应用的安全检测方法及其*** |
US20190354690A1 (en) * | 2016-12-08 | 2019-11-21 | Atricore Inc. | Systems, devices and methods for application and privacy compliance monitoring and security threat analysis processing |
US20200334362A1 (en) * | 2019-04-22 | 2020-10-22 | Cyberark Software Ltd. | Securing privileged virtualized execution instances |
CN111865971A (zh) * | 2020-07-17 | 2020-10-30 | 成都三零凯天通信实业有限公司 | 一种基于sidecar方案的kubernetes业务容器安全性探测方法 |
CN113422692A (zh) * | 2021-05-28 | 2021-09-21 | 作业帮教育科技(北京)有限公司 | 一种K8s集群内节点故障检测及处理方法、装置及存储介质 |
CN114091025A (zh) * | 2021-11-25 | 2022-02-25 | 中国联合网络通信集团有限公司 | 基于云原生平台的安全检测方法、装置、镜像构建方法 |
US20220131888A1 (en) * | 2020-10-23 | 2022-04-28 | International Business Machines Corporation | Context based risk assessment of a computing resource vulnerability |
-
2022
- 2022-07-06 CN CN202210789926.8A patent/CN115189934A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190354690A1 (en) * | 2016-12-08 | 2019-11-21 | Atricore Inc. | Systems, devices and methods for application and privacy compliance monitoring and security threat analysis processing |
CN108446159A (zh) * | 2017-02-16 | 2018-08-24 | 中标软件有限公司 | 基于Docker容器的移动端双***实现***及方法 |
CN109815704A (zh) * | 2019-01-24 | 2019-05-28 | 中国—东盟信息港股份有限公司 | 一种Kubernetes云原生应用的安全检测方法及其*** |
US20200334362A1 (en) * | 2019-04-22 | 2020-10-22 | Cyberark Software Ltd. | Securing privileged virtualized execution instances |
CN111865971A (zh) * | 2020-07-17 | 2020-10-30 | 成都三零凯天通信实业有限公司 | 一种基于sidecar方案的kubernetes业务容器安全性探测方法 |
US20220131888A1 (en) * | 2020-10-23 | 2022-04-28 | International Business Machines Corporation | Context based risk assessment of a computing resource vulnerability |
CN113422692A (zh) * | 2021-05-28 | 2021-09-21 | 作业帮教育科技(北京)有限公司 | 一种K8s集群内节点故障检测及处理方法、装置及存储介质 |
CN114091025A (zh) * | 2021-11-25 | 2022-02-25 | 中国联合网络通信集团有限公司 | 基于云原生平台的安全检测方法、装置、镜像构建方法 |
Non-Patent Citations (3)
Title |
---|
JOE PELLETIER: "常见的kubernetes配置安全威胁", Retrieved from the Internet <URL:https://cloud.tencent.com/developer/article/1680488> * |
郝鹏海;徐成龙;刘一田;: "基于Kafka和Kubernetes的云平台监控告警***", 计算机***应用, no. 08 * |
魏新宇: "金融级IT架构与运维 云原生 分布式与安全", 机械工业出版社, pages: 87 - 89 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113661693B (zh) | 经由日志检测敏感数据暴露 | |
CN110535855B (zh) | 一种网络事件监测分析方法和***、信息数据处理终端 | |
US9424426B2 (en) | Detection of malicious code insertion in trusted environments | |
US9245116B2 (en) | Systems and methods for remote monitoring, security, diagnostics, and prognostics | |
US11700270B2 (en) | Systems and methods for detecting a communication anomaly | |
CN108322446A (zh) | 内网资产漏洞检测方法、装置、计算机设备和存储介质 | |
US20200193031A1 (en) | System and Method for an Automated Analysis of Operating System Samples, Crashes and Vulnerability Reproduction | |
US20200012793A1 (en) | System and Method for An Automated Analysis of Operating System Samples | |
US20080229149A1 (en) | Remote testing of computer devices | |
CN110351277A (zh) | 电力监控***安全防护告警方法 | |
CN109325350B (zh) | 一种电力移动终端运行环境的安全评估***及方法 | |
CN110290114A (zh) | 一种基于预警信息的漏洞自动化防护方法及*** | |
US9456001B2 (en) | Attack notification | |
KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
CN116094817A (zh) | 一种网络安全检测***和方法 | |
Johnson | Barriers to the use of intrusion detection systems in safety-critical applications | |
KR20110087826A (ko) | 가상머신을 이용한 악성소프트웨어 탐지 방법 | |
CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
KR20180130630A (ko) | 자동화 진단도구를 이용한 정보시스템 취약점 진단 관리 시스템 및 방법 | |
CN115189934A (zh) | 针对Kubernetes的自动化配置安全检测方法及*** | |
US20180052998A1 (en) | Fine-Grained Analysis and Prevention of Invalid Privilege Transitions | |
CN116382952A (zh) | 一种异常处理方法、装置和*** | |
CN113518055B (zh) | 数据安全防护的处理方法及装置、存储介质、终端 | |
CN112711772B (zh) | 一种服务中功能执行时的审计***、方法及存储介质 | |
Wu | Intrusion Detection for Cyber-Physical Attacks in Cyber-Manufacturing System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |