扫描应用程序和代码中的漏洞是一种标准实践。但为何止步于此?Aqua 想要为 Kubernetes 带来与之相同水平的安全性。
译自 Akin to SBOM, Trivy Adds KBOM Vulnerability Scanning to K8s,作者 Itay Shakury 是 Aqua Security 的开源副总裁,他领导开源、云原生安全解决方案的工程。Itay 在各种软件开发、架构和产品管理角色方面拥有近 20 年的专业经验。Itay......
Kubernetes,通常被称为“云的操作系统”,是现代云原生环境中的一个复杂和关键的基础设施。鉴于其复杂的组成,确保其安全至关重要。为了使组织更好地理解 Kubernetes 环境中的组件,并大大降低风险,Aqua Security 的开源安全扫描器 Trivy 推出了 Kubernetes 物料清单(KBOM)。
传统上,Kubernetes 安全工具侧重于配置错误和加固。已经制定了 Kubernetes 安全标准,如 Kubernetes 的 Pod 安全策略、CIS 的 Kubernetes 基准测试、NSA/CISA 的 Kubernetes 加固指南等。Aqua Security 还发布了广受欢迎的开源集群评估工具 “kube-bench”。但是,评估 Kubernetes 集群本身的漏洞仍存在一个重大缺口。鉴于 Kubernetes 在云基础设施中的核心作用,这一点尤为关键。
随着 Kubernetes 集群的漏洞扫描被忽略,应用程序代码和工件的扫描正在蓬勃发展。这种实践随时间推移而进化,并随着软件清单(SBOM)的普及在几年前达到高潮。作为漏洞扫描的资深公司,Aqua Security 已经在我们的产品中利用 SBOM 的原则,但是 SBOM 为行业带来标准化和互操作性的努力确实和漏洞评估实践的成果相匹配。如今,扫描应用程序和代码中的漏洞已经是一种标准做法。但为什么就此停止?我们希望为 Kubernetes 带来与 SBOM 在应用领域得到相同水平的接受与采用。
通过使用 KBOM 分析 Kubernetes 集群,Trivy 可以生成其中使用的所有组件的综合清单。这与 SBOM 的关注点类似,SBOM 侧重于工作负载,而 KBOM 在勘探 Kubernetes 集群本身的组成。你在哪个节点上运行的是哪个 kubelet?你使用的是什么容器网络接口(CNI)?这些是 KBOM 旨在回答的问题。
Kubernetes 是一个复杂的系统,有许多移动部件,有时候它们被单独安装和配置。Kubernetes 发行版将选定的核心 Kubernetes 组件与其他必要组件打包在一起,创建一个可用的 Kubernetes 集群。准确映射 Kubernetes 集群的组成不仅可以帮助用户、开发者或集群管理员维护系统,而且为准确的漏洞评估铺平了道路。
在 KBOM 的基础上,Trivy 现在可以提供对 Kubernetes 集群及其核心组件的完整漏洞评估。这利用了官方的 Kubernetes 漏洞公告源,该源由 Aqua Security 策划,以使其与 KBOM 兼容。这标志着在提供全面的 Kubernetes 安全性方面迈出了重要的一步。
图 1:Trivy 发现了 Kubernetes 组件 api-server 中的漏洞
如果我们将 Kubernetes 视为“云的操作系统”,那么在安全性和漏洞方面,我们会将其与其他操作系统保持相同的标准。Trivy 已经是现有操作系统的突出漏洞扫描器,通过最近添加 KBOM 和 Kubernetes 漏洞扫描,它正在完成另一个重要里程碑。
加入 Trivy 社区并在 GitHub 上点赞。